जेडब्ल्यूटी डिकोडर

टोकन आपके ब्राउज़र में पूरी तरह से डिकोड किया गया है - कोई नेटवर्क अनुरोध नहीं किया जाता है, कुछ भी लॉग या संग्रहीत नहीं किया जाता है, और पेज लोड होने के बाद ऑफ़लाइन काम करता है। जैसा कि कहा गया है, पासवर्ड जैसे उत्पादन टोकन को एक आदत के रूप में मानें: किसी भी ऑनलाइन टूल में डिबगिंग करते समय समाप्त हो चुके या स्टेजिंग टोकन को प्राथमिकता दें।

डॉट्स द्वारा अलग किए गए तीन बेस64यूआरएल भाग: एक हेडर (एल्गोरिदम + प्रकार), एक पेलोड (आपके दावे - उपयोगकर्ता आईडी, भूमिकाएं, समाप्ति), और एक हस्ताक्षर। पहले दो केवल एन्कोडेड हैं, एन्क्रिप्टेड नहीं - टोकन वाला कोई भी व्यक्ति उन्हें पढ़ सकता है, जो कि यह डिकोडर दिखाता है।

नहीं - सत्यापन के लिए गुप्त या सार्वजनिक कुंजी की आवश्यकता होती है, जिसे कभी भी वेब पेज पर चिपकाया नहीं जाना चाहिए। यह टूल दावों को डीकोड और निरीक्षण करता है (डिबगिंग 95%); अपने फ्रेमवर्क की JWT लाइब्रेरी के साथ हस्ताक्षर सर्वर-साइड सत्यापित करें।

कुख्यात "कोई एल्गोरिथ्म नहीं" हमला: कुछ पुराने पुस्तकालयों ने अहस्ताक्षरित टोकन स्वीकार कर लिए यदि हेडर ने कोई भी दावा नहीं किया, तो हमलावरों को कोई भी पहचान बनाने की अनुमति मिल गई। सर्वर को ऐसे टोकन को तुरंत अस्वीकार कर देना चाहिए - लाल झंडा आपको अपने टोकन की जांच करने की याद दिलाता है।

वैधता को नियंत्रित करने वाले यूनिक्स टाइमस्टैम्प: iat = जब जारी किया गया, nbf = पहले मान्य नहीं, exp = समाप्ति। डिकोडर प्रत्येक को आपके स्थानीय समय में एक सापेक्ष विवरण ("2 घंटे पहले") के साथ परिवर्तित करता है और प्रासंगिक होने पर एक स्पष्ट EXPIRED बैज दिखाता है।