وحدة فك ترميز JWT
تم فك تشفير الرأس والحمولة وانتهاء الصلاحية دون الاتصال بالإنترنت - لا يغادر الرمز المميز متصفحك أبدًا.
Signature (base64url — verify server-side)
الصق رمزًا مميزًا، وشاهد كل شيء: الرأس والحمولة التي تم فك تشفيرها، وكل مطالبة زمنية يتم تحويلها إلى منطقتك الزمنية المحلية مع العمر النسبي، وشارة EXPIRED لا يمكن تفويتها، وتحذير أمني إذا كان الرمز المميز يستخدم خوارزمية لا شيء خطيرة. يتم فك التشفير بالكامل على جهازك — افتح DevTools وشاهد: صفر طلبات للشبكة. اختبار واجهة برمجة التطبيقات التي ينتمي إليها الرمز المميز؟ يوجد لدينا cURL to Code Converter بالجوار.
الأسئلة المتداولة
هل من الآمن لصق JWT حقيقي هنا؟
يتم فك تشفير الرمز المميز بالكامل في متصفحك - لا يتم إجراء أي طلب عبر الشبكة، ولا يتم تسجيل أو تخزين أي شيء، وتعمل الصفحة دون اتصال بمجرد تحميلها. ومع ذلك، تعامل مع رموز الإنتاج مثل كلمات المرور كعادة: تفضل الرموز المميزة منتهية الصلاحية أو المرحلية عند تصحيح الأخطاء في أي أداة عبر الإنترنت.
ما هو بالضبط داخل JWT؟
ثلاثة أجزاء base64url مفصولة بالنقاط: رأس (خوارزمية + نوع)، حمولة (مطالباتك - معرف المستخدم، الأدوار، انتهاء الصلاحية)، والتوقيع. تم تشفير أول اثنين فقط، وليس تشفيرهما - يمكن لأي شخص لديه الرمز المميز قراءتهما، وهو بالضبط ما يظهره جهاز فك التشفير هذا.
هل هذا يؤكد صحة التوقيع؟
لا — يتطلب التحقق المفتاح السري أو العام، والذي لا ينبغي لصقه مطلقًا في صفحة ويب. تقوم هذه الأداة بفك تشفير المطالبات وفحصها (تصحيح الأخطاء بنسبة 95%)؛ تحقق من التوقيعات من جانب الخادم باستخدام مكتبة JWT الخاصة بإطار العمل الخاص بك.
لماذا تم وضع علامة alg=none باللون الأحمر؟
هجوم "لا شيء" سيئ السمعة: قبلت بعض المكتبات القديمة الرموز المميزة غير الموقعة إذا لم يدعي الرأس أي شيء، مما يسمح للمهاجمين بتزوير أي هوية. يجب أن ترفض الخوادم مثل هذه الرموز المميزة تمامًا - ويذكرك العلم الأحمر بالتحقق من ذلك.
ماذا يعني exp وiat وnbf؟
الطوابع الزمنية لنظام Unix التي تحكم الصلاحية: iat = عند الإصدار، nbf = غير صالح قبل، exp = انتهاء الصلاحية. تقوم وحدة فك التشفير بتحويل كل منها إلى التوقيت المحلي الخاص بك مع وصف نسبي ("منذ ساعتين") وتظهر شارة انتهت الصلاحية واضحة عندما يكون ذلك مناسبًا.