Fügen Sie unten ein JWT-Token ein, um dessen Inhalt zu decodieren und zu überprüfen. Die gesamte Verarbeitung findet in Ihrem Browser statt - Ihr Token wird niemals an einen Server gesendet.
Ein JSON Web Token (JWT) ist eine kompakte, URL-sichere Methode zur Darstellung von Claims, die zwischen zwei Parteien übertragen werden. JWTs werden häufig zur Authentifizierung und Autorisierung in Webanwendungen und APIs verwendet. Das Token ist digital signiert, was dem Empfänger ermöglicht zu überprüfen, dass das Token nicht manipuliert wurde.
Ein JWT besteht aus drei durch Punkte (.) getrennten Teilen:
Enthält Metadaten über das Token, einschließlich des Typs (JWT) und des verwendeten Signaturalgorithmus (wie HMAC SHA256 oder RSA).
Enthält die Claims – Aussagen über eine Entität (typischerweise den Benutzer) und zusätzliche Daten. Claims können standardmäßig registrierte Claims wie exp (Ablauf), iat (ausgestellt am) und benutzerdefinierte Claims enthalten.
Wird verwendet, um zu überprüfen, ob der Absender des JWT derjenige ist, für den er sich ausgibt, und um sicherzustellen, dass die Nachricht unterwegs nicht verändert wurde. Die Signatur wird unter Verwendung des Headers, des Payloads und eines geheimen Schlüssels erstellt.
Gibt die Ablaufzeit an, zu oder nach der das JWT nicht mehr zur Verarbeitung akzeptiert werden darf. Dies hilft sicherzustellen, dass Tokens eine begrenzte Lebensdauer haben.
Gibt den Zeitpunkt an, zu dem das JWT ausgestellt wurde. Dies kann verwendet werden, um das Alter des JWT zu bestimmen.
Gibt den Zeitpunkt an, vor dem das JWT nicht zur Verarbeitung akzeptiert werden darf.
Identifiziert den Prinzipal, der das JWT ausgestellt hat.
Identifiziert den Prinzipal, der das Subjekt des JWT ist (oft die Benutzer-ID).
Identifiziert die Empfänger, für die das JWT bestimmt ist.
Die Verwendung des JWT-Decoder-Tools ist einfach:
Dieses Tool ist vollständig clientseitig. Die gesamte JWT-Decodierung erfolgt in Ihrem Browser mit JavaScript. Ihre Tokens werden niemals an einen Server gesendet, um Ihre Sicherheit und Privatsphäre zu gewährleisten. Sie können dieses Tool sogar offline verwenden, sobald die Seite geladen ist.
Denken Sie jedoch daran, dass JWTs nur kodiert, nicht verschlüsselt sind. Jeder mit Zugriff auf ein JWT kann es decodieren und seinen Inhalt lesen. Aus diesem Grund sollten Sie niemals vertrauliche Informationen wie Passwörter in JWT-Payloads speichern. Die Signatur stellt sicher, dass das Token nicht modifiziert wurde, aber sie verbirgt nicht den Inhalt.
Nachdem sich ein Benutzer angemeldet hat, kann ein JWT ausgestellt und bei nachfolgenden Anfragen gesendet werden, um die Identität des Benutzers zu überprüfen, ohne dass der Server den Sitzungsstatus beibehalten muss.
JWTs können Informationen sicher zwischen Parteien übertragen, da sie signiert werden können, sodass Sie den Absender überprüfen und sicherstellen können, dass die Nachricht nicht manipuliert wurde.
JWTs werden häufig in REST-APIs verwendet, um den Zugriff auf geschützte Ressourcen zu autorisieren.
Setzen Sie angemessene Ablaufzeiten, um das Zeitfenster bei einer Kompromittierung eines Tokens zu begrenzen.
Übertragen Sie JWTs immer über HTTPS, um ein Abfangen zu verhindern.
Speichern Sie JWTs sicher in Ihrer Anwendung und vermeiden Sie nach Möglichkeit localStorage. Erwägen Sie die Verwendung von httpOnly-Cookies für sensible Anwendungen.
Validieren Sie JWTs immer auf der Serverseite und überprüfen Sie die Signatur, den Ablauf und alle benutzerdefinierten Claims.
Denken Sie daran, dass JWTs von jedem decodiert werden können. Vermeiden Sie daher die Speicherung sensibler Informationen im Payload.
Dieses Tool ist besonders nützlich für Entwickler, die: