th

ถอดรหัส JWT

ถอดรหัส JSON Web Token ในเบราว์เซอร์แบบโลคอลให้เป็น JSON ที่อ่านได้ เห็น header และ payload โดยไม่ต้องอัปโหลด.

กำลังประมวลผลในเครื่องของคุณ ...

0%

ไฟล์ของคุณไม่เคยออกจากอุปกรณ์

    ไฟล์ของฉันถูกอัปโหลดไหม

    ไม่ ทุกอย่างทำงานในเบราว์เซอร์ของคุณ - ไฟล์ของคุณไม่เคยออกจากอุปกรณ์ ตรวจสอบเรื่องนี้ได้อย่างไร

    ไม่ต้องอัปโหลดทำงานในเครื่อง 100%
    เนื้อหายังอยู่กับคุณไม่มีบุคคลที่สามเข้าถึง
    เซิร์ฟเวอร์ในเยอรมนีออกแบบตาม GDPR
    ตรวจสอบโดยอิสระTLS A+ · ส่วนหัว HTTP A+

    JSON Web Token (JWT, RFC 7519) คือโทเคนขนาดกะทัดรัดที่ประกอบด้วยสามส่วนคั่นด้วยจุด: header, payload และลายเซ็น ส่วน header และ payload เป็นเพียง JSON ที่เข้ารหัสแบบ Base64URL (RFC 7515) ไม่ใช่ความลับ แต่เป็นเพียงรูปแบบที่ปลอดภัยสำหรับการส่ง เครื่องมือนี้จะแยกส่วนต่าง ๆ ถอดรหัส header และ payload กลับมา และแสดง JSON ที่อยู่ข้างในอย่างเป็นระเบียบ คุณจึงเห็นได้ทันทีว่าระบุอัลกอริทึมใดไว้ และโทเคนพาข้อมูล (claim) อะไรบ้าง.

    สำคัญและตรงไปตรงมา: เครื่องมือนี้ถอดรหัสเท่านั้น ไม่ได้ตรวจสอบลายเซ็น การตรวจสอบจริง ๆ ต้องใช้ความลับหรือกุญแจสาธารณะของผู้ออก ซึ่งเครื่องมือนี้จงใจไม่ถามถึงเด็ดขาด ดังนั้นโทเคนที่ถอดรหัสแล้วจึงยังไม่ใช่โทเคนที่เชื่อถือได้: เนื้อหาอาจถูกแก้ไข จงใช้มุมมองนี้เพื่อทำความเข้าใจและดีบัก (มี claim อะไร exp หมดอายุเมื่อไร iss คือใคร) อย่าใช้เป็นหลักฐานยืนยันความแท้.

    กระบวนการทั้งหมดทำงานในเบราว์เซอร์ของคุณทั้งหมดด้วย JavaScript ล้วน ๆ: โทเคนไม่ถูกอัปโหลด ไม่ถูกจัดเก็บ และไม่มีการดึงไลบรารีภายนอกจาก CDN เรื่องนี้สำคัญมากสำหรับ token เพราะ access token หรือ ID token ไม่ควรอยู่ในแบบฟอร์มออนไลน์ของคนอื่น หากสิ่งที่ป้อนไม่ใช่ JWT ที่ถูกต้อง เครื่องมือจะแจ้งข้อผิดพลาดอย่างตรงไปตรงมา แทนที่จะสร้างผลลัพธ์ที่ผิด.

    ข้อมูลทางเทคนิค

    ข้อมูลทางเทคนิค
    รูปแบบที่รองรับการป้อนข้อความ
    รูปแบบผลลัพธ์JSON
    การประมวลผลเป็นชุดไม่รองรับ
    การประมวลผลภายในเบราว์เซอร์ (JavaScript)
    การอัปโหลดไฟล์ไม่มี

    ใน 3 ขั้นตอน

    1. วาง JWT ลงในช่องข้อความ.
    2. คลิกถอดรหัส.
    3. อ่านหรือดาวน์โหลด header และ payload ในรูปแบบ JSON.

    ข้อจำกัด: ถอดรหัสล้วน โดยไม่ตรวจสอบลายเซ็น: เครื่องมือจะไม่ยืนยันว่าโทเคนนั้นของแท้หรือไม่ถูกแก้ไข ซึ่งต้องใช้กุญแจของผู้ออก ทั้งยังไม่ตรวจว่าโทเคนหมดอายุหรือยัง แสดงเฉพาะ claim เท่านั้น โทเคนที่เข้ารหัส (JWE) จะไม่ถูกถอดรหัส header และ payload เป็นเพียง Base64URL ไม่ใช่การเข้ารหัส อย่าใส่ความลับลงใน payload เด็ดขาด.

    คำถามที่พบบ่อย

    โทเคนของฉันถูกอัปโหลดหรือไม่?

    ไม่ การถอดรหัสทำงานในเบราว์เซอร์ทั้งหมด โทเคนไม่เคยออกจากอุปกรณ์ของคุณและไม่ถูกจัดเก็บ.

    เครื่องมือตรวจสอบลายเซ็นหรือไม่?

    ไม่ มันถอดรหัสเฉพาะ header และ payload เท่านั้น การตรวจสอบลายเซ็นต้องใช้กุญแจของผู้ออก ซึ่งเครื่องมือนี้จงใจไม่ถามถึง โทเคนที่ถอดรหัสแล้วไม่ใช่โทเคนที่เชื่อถือได้.

    JWT ถูกเข้ารหัสหรือไม่?

    โดยทั่วไปไม่ header และ payload เพียงถูกเข้ารหัสแบบ Base64URL ซึ่งใคร ๆ ก็ถอดกลับได้ ดังนั้นอย่าใส่ความลับลงใน payload.

    claim อย่าง exp, iat หรือ iss หมายความว่าอย่างไร?

    claim มาตรฐาน: iss คือผู้ออก iat คือเวลาที่ออก exp คือเวลาหมดอายุ (เป็นเวลา Unix) sub คือประธาน โทเคนแสดงตามเดิมโดยไม่ประมวลผล.

    ถ้าข้อมูลไม่ถูกต้องจะเกิดอะไรขึ้น?

    หากข้อมูลไม่ใช่ JWT ที่ถูกต้อง (จำนวนส่วนผิดหรือ Base64URL เสีย) เครื่องมือจะแจ้งข้อผิดพลาดอย่างตรงไปตรงมา แทนที่จะให้ผลลัพธ์ที่ผิด.

    เครื่องมือที่เกี่ยวข้อง