sw

Simbua JWT

Simbua JSON Web Token kienyeji ndani ya kivinjari kuwa JSON inayosomeka: header na payload zaonekana, bila kupakia.

Inachakata humu kwenye kifaa chako ...

0%

Faili zako hazikutoka kamwe kwenye kifaa chako

    Je, faili yangu hupakiwa?

    Hapana. Kila kitu hufanyika kwenye kivinjari chako - faili yako haitoki kamwe kwenye kifaa chako. Jinsi hili linavyoweza kuthibitishwa

    Hakuna kupakia100% kwa kifaa chako
    Maudhui hubaki kwakohakuna ufikiaji wa wengine
    Seva nchini UjerumaniGDPR kwa muundo
    Imekaguliwa kwa njeTLS A+ · Vichwa vya HTTP A+

    JSON Web Token (JWT, RFC 7519) ni tokeni fupi inayoundwa na sehemu tatu zilizotenganishwa kwa nukta: header, payload, na saini. Header na payload ni JSON iliyosimbwa kwa Base64URL tu (RFC 7515), si siri bali ni mwandiko salama wa kusafirisha. Kifaa hiki hutenganisha sehemu hizo, kinarudisha header na payload kwa kuzifumbua, kisha kinaonyesha JSON iliyomo ikiwa imepangwa vizuri. Kwa mtazamo mmoja unaona algoriti iliyotajwa na taarifa (claims) ambazo tokeni inabeba.

    Muhimu na kwa uwazi: kifaa hiki kinafumbua tu, hakithibitishi saini. Uthibitishaji halisi unahitaji siri au ufunguo wa umma wa mtoaji, ambao kifaa hiki kwa makusudi hakiuombi kamwe. Hivyo tokeni iliyofumbuliwa bado si tokeni inayoaminika: maudhui yake yanaweza kuwa yamechezewa. Tumia mwonekano huu kuelewa na kutatua hitilafu (claims zipi, exp inaisha lini, iss ipi), kamwe si kama uthibitisho wa uhalisi.

    Uchakataji wote unaendeshwa kikamilifu kienyeji ndani ya kivinjari kwa JavaScript halisi: tokeni haipakiwi, haihifadhiwi, na hakuna maktaba ya kigeni inayopakuliwa kutoka CDN. Hili ni muhimu hasa kwa tokeni, kwa sababu tokeni ya ufikiaji au tokeni ya kitambulisho haifai kuwekwa katika fomu ya mtandaoni ya mtu mwingine. Ikiwa ingizo si JWT halali, kifaa kinasema hivyo kwa uwazi badala ya kubuni matokeo yasiyo sahihi.

    Maelezo ya kiufundi

    Maelezo ya kiufundi
    Miundo ya ingizoIngizo la maandishi
    Muundo wa matokeoJSON
    Uchakataji wa kundiHapana
    UchakatajiNdani ya kivinjari (JavaScript)
    Upakiaji wa failiHakuna

    Katika hatua 3

    1. Bandika JWT katika sehemu ya maandishi.
    2. Bofya decode.
    3. Soma au pakua header na payload kama JSON.

    Mipaka: Ku-decode tu bila kuthibitisha saini: kifaa hiki HAKIthibitishi kuwa tokeni ni halisi au haijabadilishwa, hilo lingehitaji ufunguo wa mtoaji. Pia hakikagui iwapo tokeni imeisha muda; kinaonyesha tu claims. Tokeni zilizosimbwa (JWE) hazifunguliwi. Header na payload ni Base64URL tu, si usimbaji fiche, kwa hivyo usiweke kamwe siri ndani ya payload.

    Maswali yanayoulizwa mara kwa mara

    Je, tokeni yangu inapakiwa?

    Hapana. Ku-decode kunaendeshwa kikamilifu kienyeji ndani ya kivinjari; tokeni haitoki kamwe kwenye kifaa chako na haihifadhiwi.

    Je, kifaa kinathibitisha saini?

    Hapana. Kinafumbua header na payload tu. Kuthibitisha saini kunahitaji ufunguo wa mtoaji, ambao kifaa hiki kwa makusudi hakiuombi kamwe. Tokeni iliyofumbuliwa si tokeni inayoaminika.

    Je, JWT imesimbwa kwa fiche?

    Mara nyingi hapana. Header na payload zimesimbwa kwa Base64URL tu, ambazo mtu yeyote anaweza kuzisoma tena. Kwa hivyo usiweke siri ndani ya payload.

    Claims kama exp, iat au iss zinamaanisha nini?

    Claims za kawaida: iss ni mtoaji, iat ni wakati wa kutolewa, exp ni wakati wa kuisha muda (kama wakati wa Unix), sub ni mhusika. Kifaa kinazionyesha bila kubadilishwa; hakizichambui.

    Nini hutokea kwa ingizo lisilo halali?

    Ikiwa ingizo si JWT halali (idadi mbaya ya sehemu au Base64URL iliyoharibika), kifaa kinaripoti hitilafu kwa uwazi badala ya kuonyesha matokeo yasiyo sahihi.

    Zana zinazohusiana