مُفكّك JWT
افحص رموز JWT (JWT) لفهم محتوياتها. فك تشفير أي JWT إلى أجزائه الثلاثة المكونة: الرأس (الخوارزمية ونوع الرمز)، والحمولة (المطالب والبيانات)، والتوقيع. اعرض الطوابع الزمنية بتنسيق مقروء للبشر وقم بتحقق من بنية الرمز. مفيد لتصحيح تدفقات المصادقة، وفهم رموز API، والتحقق من مطالب JWT أثناء التطوير.
ماذا تفعل هذه الأداة؟
يقوم مُفكّك JWT بتحليل وعرض محتويات رموز JSON Web دون التحقق من التوقيع (الذي يتطلب المفتاح العام للمصدر). يقوم بتقسيم المكونات الثلاثة المشفرة بـ base64url والفصل بينها بنقاط، وفك تشفير كل جزء إلى JSON، وعرضه بتنسيق مقروء. يتم تمييز مطالب JWT القياسية (انتهاء الصلاحية، الإصدار، غير الصالحة قبل) بطوابع زمنية مقروءة للبشر. يتحقق الأداة من بنية JWT ويقوم بإبلاغ الرموز غير الصالحة بمعلومات خطأ محددة.
كيف تعمل
يتكون JWT من ثلاثة أجزاء مفصولة بنقاط: header.payload.signature. كل جزء مشفر بـ base64url (base64 آمن للروابط). تقوم الأداة بتقسيمها على النقاط، وفك تشفير كل جزء باستخدام فك تشفير base64url (تحويل - إلى +، و _ إلى /، وإضافة الحشو)، ثم تحليلها كـ JSON. يحتوي الرأس عادةً على alg (الخوارزمية) و typ (النوع). تحتوي الحمولة على مطالب مثل sub (الموضوع)، iss (المصدر)، exp (انتهاء الصلاحية)، iat (الإصدار). يتم عرض التوقيع كـ base64 دون التحقق. يتم تحويل الطوابع الزمنية إلى عرض محلي و UTC.
الميزات
- يفك تشفير أقسام الرأس والحمولة والتوقيع
- يطبع JSON المفكك بشكل جميل
- يُبرز انتهاء الصلاحية (exp)، والإصدار (iat)، وغير الصالحة قبل (nbf) بأوقات مقروءة للبشر
- يكتشف رموز JWT غير الصالحة مع رسائل خطأ مفيدة
- 100% على جانب العميل — لا يغادر رمزك المتصفح أبدًا
- يتحقق من بنية JWT القياسية
- نسخ الأجزاء المفككة بشكل فردي
كيفية الاستخدام
- 1
الصق JWT الخاص بك
أدخل الرمز (الصيغة: eyJ...xxxxx.yyyyy.zzzzz). ثلاثة أجزاء مفصولة بنقاط. تبدأ معظم رموز JWT بـ 'eyJ' في base64url.
- 2
راجع الأجزاء المفككة
يُظهر الرأس الخوارزمية (HS256، RS256، إلخ) والنوع. تُظهر الحمولة جميع المطالب والبيانات. يتم عرض التوقيع كـ base64.
- 3
تحقق من الطوابع الزمنية
يتم عرض exp (انتهاء الصلاحية)، iat (الإصدار)، nbf (غير الصالحة قبل) كـ طوابع زمنية Unix وتواريخ مقروءة للبشر مع وقت نسبي.
- 4
تحقق من البنية
إذا كان JWT غير صالح، فسترى خطأ محدد يشير إلى الجزء الذي فشل في فك التشفير أو التحليل.
حالات الاستخدام الشائعة
تصحيح مشاكل المصادقة
افحص رموز JWT من تدفقات OAuth، وأنظمة SSO، أو المصادقة المخصصة للتحقق من المطالب، وفحص انتهاء الصلاحية، وتصحيح فشل التحقق من الرمز.
تطوير API
افك تشفير الرموز التي يستقبلها API الخاص بك لفهم بنيتها، والتحقق من المطالب التي تقوم بفحصها، وتصحيح منطق التفويض.
تعلم بنية JWT
افحص رموز JWT حقيقية لفهم كيفية بنائها، وما تبدو عليه المطالب القياسية، وكيفية تحديد الخوارزميات المختلفة.
مراقبة انتهاء صلاحية الرمز
تحقق بسرعة من وقت انتهاء صلاحية الرمز دون كتابة كود، مفيد لاختبار API اليدوي مع الرموز ذات فترات الحياة المحدودة.
نصائح وأفضل الممارسات
- هذه الأداة تفكك فقط — ولا تقوم بالتحقق من التوقيعات. يمكن لأي شخص إنشاء JWT بأي حمولة. للأمان، يجب على تطبيقك التحقق من التوقيع باستخدام المفتاح العام للمصدر
- exp (انتهاء الصلاحية) بـ Unix seconds. إذا كان exp في الماضي، فإن الرمز منتهي الصلاحية ويجب رفضه
- الخوارزميات الشائعة: HS256 (HMAC مع SHA-256، متماثل)، RS256 (توقيع RSA، غير متماثل)، ES256 (توقيع ECDSA)
- لا تثق أبدًا بمحتويات JWT غير المفحوصة لاتخاذ قرارات أمنية — قم دائمًا بالتحقق من التوقيع تشفيريًا