מפענח JWT - פענח ואמת JWT בדפדפן שלך

// פענח JWT ללא שליחת נתונים לשרת

בצד הלקוח בלבד — הנתונים שלך לעולם לא עוזבים את הדפדפן
קלט טוקן
גרור קובץ JWT או טקסט לכאן

כיצד לפענח טוקני JWT

1

הדבק את טוקן ה-JWT שלך

העתק את ה-JSON Web Token שלך והדבק אותו בשדה הקלט. מפענח ה-JWT מנתח ומפענח באופן אוטומטי את הטוקן המקודד ב-Base64URL באופן מיידי.

2

הצג תביעות מפוענחות

בדוק את כותרת ומטען ה-JWT המפוענחים. הצג תביעות כמו iss, sub, exp ו-iat בפורמט JSON או טבלה עם חותמות זמן קריאות.

3

אמת חתימת JWT

הזן את המפתח הסודי או הציבורי שלך לאימות חתימת הטוקן. תומך באלגוריתמים HS256, HS384, HS512 (HMAC) לאימות חתימה.

מהו JSON Web Token (JWT)?

כותרת . מטען . חתימה

JSON Web Token (JWT) הוא תקן פתוח (RFC 7519) להעברת מידע באופן מאובטח בין צדדים כאובייקט JSON קומפקטי ובטוח ל-URL. JWT משמש בדרך כלל לאימות, הרשאה והחלפת מידע באפליקציות ווב מודרניות, ממשקי API ומערכות כניסה יחידה (SSO).

כותרת

מכיל את סוג הטוקן ואלגוריתם החתימה (למשל HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

מטען

מכיל תביעות: רשומות (iss, exp, sub), ציבוריות ופרטיות.

{"sub": "user123", "exp": 1699999999}

חתימה

חתימה קריפטוגרפית המאמתת שהטוקן לא שונה.

HMACSHA256(base64(header).base64(payload), secret)

מקרי שימוש נפוצים ב-JWT

אימות API

JWT הוא התקן לאבטחת REST APIs. לאחר התחברות, השרת מנפיק JWT שהלקוח כולל בכותרת Authorization: Bearer עבור בקשות עוקבות.

כניסה יחידה (SSO)

JWT מאפשר אימות חלק בין מספר אפליקציות. התחברות אחת מייצרת טוקן שעובד בכל השירותים המחוברים בארגון שלך.

החלפת מידע

העבר נתונים באופן מאובטח בין צדדים. החתימה מבטיחה את זהות השולח ושההודעה לא שונתה במעבר.

אימות אפליקציות מובייל

אימות ללא מצב אידיאלי לאפליקציות מובייל. אין צורך בסשנים בצד השרת—ה-JWT מכיל את כל מידע המשתמש הנדרש.

שאלות נפוצות

האם מפענח JWT זה בטוח לשימוש עם טוקני ייצור?

כן, מפענח JWT זה בטוח לחלוטין. כל הפענוח והאימות מתבצעים לחלוטין בדפדפן שלך באמצעות JavaScript. הטוקנים והמפתחות הסודיים שלך לעולם לא נשלחים לשום שרת. תוכל לאמת זאת על ידי בדיקת בקשות הרשת בכלי המפתחים של הדפדפן—אף נתון לא עוזב את המכשיר שלך.

מה ההבדל בין פענוח לאימות JWT?

פענוח פשוט ממיר את הכותרת והמטען המקודדים ב-Base64URL חזרה ל-JSON קריא. כל אחד יכול לפענח JWT ללא מפתח. אימות בודק את החתימה הקריפטוגרפית כדי להבטיח שהטוקן לא שונה והונפק ממקור אמין. אימות דורש את המפתח הסודי (עבור HMAC) או המפתח הציבורי (עבור RSA/ECDSA).

אילו אלגוריתמי חתימת JWT נתמכים?

כלי זה יכול לפענח JWT חתומים בכל אלגוריתם. לאימות חתימה, אנו תומכים כרגע באלגוריתמי HMAC (HS256, HS384, HS512) באמצעות Web Crypto API. תמיכה באימות RSA (RS256, RS384, RS512) ו-ECDSA (ES256, ES384, ES512) מתוכננת.

מדוע אימות חתימת ה-JWT שלי נכשל?

סיבות נפוצות כוללות: 1) מפתח סודי שגוי—ודא שאתה משתמש בדיוק באותו מפתח שחתם על הטוקן. 2) פורמט שגוי—נסה להחליף בין UTF-8 ל-Base64 אם הסוד שלך מקודד ב-Base64. 3) אי התאמת אלגוריתם—בדוק שתביעת alg בכותרת תואמת לשיטת האימות שלך. 4) הטוקן שונה—כל שינוי בכותרת או במטען מבטל את החתימה.

מה המשמעות של תביעות JWT סטנדרטיות?

תביעות רשומות המוגדרות ב-RFC 7519:

  • iss (מנפיק) – מי הנפיק את הטוקן
  • sub (נושא) – המשתמש או הישות שהטוקן מייצג
  • aud (קהל) – הנמען המיועד של הטוקן
  • exp (תפוגה) – חותמת זמן Unix של תפוגת הטוקן
  • nbf (לא לפני) – הטוקן אינו תקף לפני זמן זה
  • iat (הונפק ב) – מתי הטוקן נוצר
  • jti (מזהה JWT) – מזהה ייחודי לטוקן