פענוח JSON Web Token כדי לבחון את הכותרת (header) והמטען (payload) שלו, עם זמני תפוגה והנפקה בפורמט קריא. רץ כולו בדפדפן שלכם; אסימונים לעולם לא מועלים.
כיצד להשתמש במפענח JWT
הדביקו JWT בצורה header.payload.signature.
קראו את הכותרת והמטען המפוענחים כ-JSON מעוצב.
בדקו את זמני התפוגה וההנפקה, והאם האסימון פג תוקף.
שאלות נפוצות
לא. הוא מפענח ומציג את הכותרת והמטען. אימות החתימה דורש את הסוד החתימתי או את המפתח הציבורי, שאותם אין להדביק בשום כלי אינטרנטי.
פענוח קורא את הכותרת והמטען המקודדים ב-Base64url, שאינם מוצפנים. אימות מחשב מחדש את החתימה עם המפתח כדי להוכיח שהאסימון אמיתי ולא שונה.
הפענוח מתבצע כולו בדפדפן שלכם, כך שהאסימון אינו מועלה. עם זאת, התייחסו לאסימונים פעילים כאל סודות והימנעו מהדבקתם במחשבים משותפים.
אלה תביעות (claims) סטנדרטיות: iat הוא זמן ההנפקה, nbf הוא לא-תקף-לפני, ו-exp הוא זמן התפוגה. המפענח ממיר את חותמות הזמן של Unix לזמן מקומי קריא.
כן. תפוגה אינה משנה את אופן פענוח האסימון, כך שאפשר לבחון את התביעות של אסימון שפג ולראות בדיוק מתי פקע.
JWT הוא חתום, לא מוצפן. המטען מקודד רק ב-Base64url, כך שכל אחד יכול לקרוא אותו. לעולם אל תכניסו סודות למטען של JWT.
ל-JSON Web Token שלושה חלקים מופרדים בנקודות: כותרת מקודדת ב-Base64url, מטען מקודד ב-Base64url, וחתימה. המפענח הזה מפצל ומפענח את שני החלקים הראשונים מיד בדפדפן שלכם, והאסימון לעולם אינו עוזב את המכשיר שלכם.
השימוש הנפוץ ביותר הוא בחינת אסימון שממשק API החזיר: מי הנפיק אותו (iss), מתי הוא פג (exp), אילו הרשאות הוא נושא (scope או roles), והאם כבר פג תוקפו. התפוגה מוצגת בזמן מקומי קריא, ולא כחותמת זמן גולמית של Unix, כך שאפשר לראות במבט חטוף אם האסימון עדיין תקף.
שימו לב: הכלי הזה מפענח ומציג, הוא אינו מאמת את החתימה מול מפתח סודי. לאימות חתימה דרוש הסוד החתימתי או המפתח הציבורי, שאותם לעולם אין להזין בכלי מבוסס דפדפן.
כלים קשורים
צרו ערכי Hash מסוג SHA-1, SHA-256, SHA-384 ו-SHA-512 לכל טקסט, ישירות בדפדפן שלכם.
המירו צבעים בין HEX, RGB ו-HSL עם תצוגה מקדימה חיה.
המירו ערכי Unix timestamp לתאריכים קריאים ובחזרה: UTC, מקומי, ISO 8601 וזמן יחסי. שניות ומילישניות מזוהות אוטומטית.
קודדו ופענחו כתובות URL ורכיבי URL בקידוד אחוזים, עם תמיכה בטוחה ב-UTF-8.