JWT დეკოდირება (Header/Payload-ის ნახვა, ხელმოწერის ვერიფიკაციის გარეშე)

Q: "რას ნიშნავს „ვერიფიკაციის გარეშე“?"

"ეს გვერდი მხოლოდ ტოკენის შიგთავსს დეკოდირებს და აჩვენებს. რადგან ხელმოწერები არ მოწმდება, გაყალბების აღმოჩენა შეუძლებელია. ნამდვილობის დასადგენად არ გამოიყენოთ."

Q: "არ მინდა საიდუმლო გასაღების შეყვანა"

"საიდუმლო გასაღები საჭირო არ არის. Header/payload-ის სანახავად მხოლოდ JWT სტრიქონია საჭირო."

Q: "შემიძლია exp datetime-ად წავიკითხო?"

"exp (და iat / nbf) ნაჩვენებია Unix დროითა და datetime-ით UTC/ლოკალური გადართვით."

Q: "შეუძლია თუ არა ამ ინსტრუმენტს დაშიფრული JWE ტოკენების წაკითხვა?"

"არა. ეს ინსტრუმენტი გათვლილია ტიპური JWS სტილის 3-სეგმენტიანი JWT-ის დეკოდირებაზე და JWE-ს არ შიფრავს."

Q: "alg:none ტოკენებიც გამოჩნდება?"

"კი, მათი ჩვენება შესაძლებელია, მაგრამ ვერიფიკაციის გარეშე ამ ინსტრუმენტს არ შეუძლია უსაფრთხოების ან ნამდვილობის განსაზღვრა."

ჩასვით ტოკენი და მყისიერად შეამოწმეთ მისი შიგთავსი (ხელმოწერის სისწორე არ მოწმდება).

exp / iat / nbf ნაჩვენებია Unix დროით და datetime-ით (UTC/ლოკალური) შედარებითი სტატუსით.

გაფრთხილება: ეს გვერდი ხელმოწერებს არ ამოწმებს

ეს გვერდი მხოლოდ ტოკენის შიგთავსს დეკოდირებს. რადგან ხელმოწერის ვერიფიკაცია არ ხდება, გაყალბების აღმოჩენა შეუძლებელია. ამ შედეგით ნამდვილობა არ შეაფასოთ.

შეყვანილი ტოკენები თქვენს ბრაუზერში მუშავდება და სერვერზე არ იგზავნება.

როგორ გამოვიყენოთ

ჩასვით JWT (Bearer პრეფიქსიც მიიღება).
შეამოწმეთ Payload / Header ჩანართები.
exp / iat / nbf-ისთვის გამოიყენეთ datetime და შედარებითი ხედები.

ნიმუში

API ტოკენის claim-ების შემოწმება

შეყვანა: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

გამოტანა: ფორმატირებული alg, typ, iss, sub, aud, exp ველები

უსაფრთხოება და კონფიდენციალურობა

ეს ინსტრუმენტი მხოლოდ ჩვენებისთვისაა (ხელმოწერის ვერიფიკაციის გარეშე).
შეყვანილი ტოკენები ლოკალურად ბრაუზერში მუშავდება და არ გადაიცემა.
სენსიტიური ტოკენების შემთხვევაში ფრთხილად იყავით ეკრანის სურათებისა და ლოგების გაზიარებისას.
თუ ვერიფიკაცია გჭირდებათ, გამოიყენეთ სპეციალიზებული ვერიფიკაციის ინსტრუმენტები ან სერვერის მხარის ვალიდაცია.

ხშირად დასმული კითხვები

რას ნიშნავს „ვერიფიკაციის გარეშე“?

ეს გვერდი მხოლოდ ტოკენის შიგთავსს დეკოდირებს და აჩვენებს. რადგან ხელმოწერები არ მოწმდება, გაყალბების აღმოჩენა შეუძლებელია. ნამდვილობის დასადგენად არ გამოიყენოთ.

არ მინდა საიდუმლო გასაღების შეყვანა

საიდუმლო გასაღები საჭირო არ არის. Header/payload-ის სანახავად მხოლოდ JWT სტრიქონია საჭირო.

შემიძლია exp datetime-ად წავიკითხო?

exp (და iat / nbf) ნაჩვენებია Unix დროითა და datetime-ით UTC/ლოკალური გადართვით.

შეუძლია თუ არა ამ ინსტრუმენტს დაშიფრული JWE ტოკენების წაკითხვა?

არა. ეს ინსტრუმენტი გათვლილია ტიპური JWS სტილის 3-სეგმენტიანი JWT-ის დეკოდირებაზე და JWE-ს არ შიფრავს.

alg:none ტოკენებიც გამოჩნდება?

კი, მათი ჩვენება შესაძლებელია, მაგრამ ვერიფიკაციის გარეშე ამ ინსტრუმენტს არ შეუძლია უსაფრთხოების ან ნამდვილობის განსაზღვრა.

JWT დეკოდირება (Header/Payload-ის ნახვა, ხელმოწერის ვერიფიკაციის გარეშე)

გაფრთხილება: ეს გვერდი ხელმოწერებს არ ამოწმებს

როგორ გამოვიყენოთ

ნიმუში

API ტოკენის claim-ების შემოწმება

უსაფრთხოება და კონფიდენციალურობა

ხშირად დასმული კითხვები

JWT Decoder

დეკოდირებული შედეგი

მთავარი claim-ები