Toova ตรวจสอบ signature ของ JWT หรือไม่

ไม่ การตรวจสอบต้องใช้ signing key ซึ่งเฉพาะผู้ออกโทเค็นเท่านั้นที่ถือ Toova ถอดรหัส header และ payload เพื่อให้คุณตรวจสอบ claims แต่การไว้วางใจโทเค็นยังคงต้องการการตรวจสอบฝั่งเซิร์ฟเวอร์ด้วยกุญแจลับหรือกุญแจสาธารณะ

โทเค็นของฉันถูกส่งไปที่ใดหรือไม่

ไม่ ตัวถอดรหัสทำงานในเบราว์เซอร์ของคุณทั้งหมด โทเค็นไม่ออกจากอุปกรณ์ และมีคำขอออกเครือข่ายเป็นศูนย์ระหว่างการถอดรหัส เปิด DevTools และตรวจสอบด้วยตัวเอง

ถอดรหัสโทเค็นที่หมดอายุได้ไหม

ใช่ ตัวถอดรหัสทำงานโดยไม่คำนึงถึงการหมดอายุ มันตั้งธงโทเค็นว่าหมดอายุและแสดงเมื่อ claim exp ผ่าน ซึ่งช่วยเมื่อดีบักว่าทำไมคำขอถูกปฏิเสธ

ฟิลด์ alg บอกอะไรฉัน

มันระบุอัลกอริทึมการลงนาม — HS256 สำหรับ HMAC-SHA256, RS256 สำหรับ RSA, ES256 สำหรับ ECDSA และอื่นๆ หาก alg เป็น "none" โทเค็นไม่มีการลงนาม ซึ่งเกือบจะเสมอเป็นจุดบกพร่องด้านความปลอดภัย

ทำไม timestamps เป็นตัวเลข

JWT claims ใช้วินาทีของ Unix epoch Toova แปล iat, nbf และ exp เป็นเขตเวลาท้องถิ่นของคุณเพื่อให้คุณอ่านได้ ในขณะที่รักษาค่าดิบให้มองเห็นได้สำหรับการอ้างอิง

ตัวถอดรหัส JWT — ถอดรหัสและตรวจสอบ JSON Web Token

ออกแบบเพื่อความเป็นส่วนตัว — ทำงานในเบราว์เซอร์ของคุณทั้งหมด

ถอดรหัส JWT (JSON Web Token) และตรวจสอบ header และ payload โดยไม่ส่งโทเค็นไปที่ใด Toova แสดงอัลกอริทึม claims เวลาออกและหมดอายุในรูปแบบที่มนุษย์อ่านได้ และตั้งธงโทเค็นที่หมดอายุแล้ว — ทั้งหมดในเครื่อง ในเบราว์เซอร์ของคุณ

ทำไมต้องถอดรหัส JWT ในเครื่อง

ตัวถอดรหัส JWT ตัวอื่นๆ ขอให้คุณวางโทเค็นลงในฟอร์มระยะไกล ปัญหาชัดเจน — ถ้าโทเค็นถูกต้อง ใครก็ตามที่รันเซิร์ฟเวอร์นั้นสามารถปลอมตัวเป็นคุณได้ Toova ถอดรหัสโทเค็นในเบราว์เซอร์ของคุณทั้งหมด โดยไม่มีการอัปโหลดและไม่มีการบันทึก คุณสามารถวาง access token จาก production ตรวจสอบ claims และยืนยันว่ามีรูปแบบที่ถูกต้องโดยไม่รั่วไหลให้บุคคลที่สาม

สิ่งที่คุณเห็นในเอาต์พุตที่ถอดรหัส

Toova แยกโทเค็นเป็น header, payload และ signature Header แสดงอัลกอริทึมและ key ID Payload คือ JSON ที่จัดแต่งสวยงามด้วยทุก claim มาตรฐาน (iss, sub, aud, exp, nbf, iat, jti) แปลงเป็นรูปแบบที่อ่านได้ Timestamps ถูกแปลเป็นเขตเวลาท้องถิ่นของคุณ และเครื่องมือตั้งธงว่าโทเค็นใช้งานได้ในปัจจุบัน หมดอายุแล้ว หรือยังไม่ทำงาน

ถอดรหัสเท่านั้น ไม่ไว้วางใจ

การถอดรหัส JWT ไม่เหมือนกับการตรวจสอบ ตัวถอดรหัสแสดงสิ่งที่โทเค็นอ้างว่าเป็น แต่ไม่ตรวจสอบ signature — นั่นต้องใช้ signing key ซึ่งอยู่บนเซิร์ฟเวอร์ที่ออกโทเค็น ใช้ Toova เพื่อดีบักโครงสร้าง claim การหมดอายุ และค่า audience ใช้ไลบรารี auth ของคุณเพื่อตรวจสอบความน่าเชื่อถือก่อนให้สิทธิ์เข้าถึง

คำถามที่พบบ่อย

Toova ตรวจสอบ signature ของ JWT หรือไม่: ไม่ การตรวจสอบต้องใช้ signing key ซึ่งเฉพาะผู้ออกโทเค็นเท่านั้นที่ถือ Toova ถอดรหัส header และ payload เพื่อให้คุณตรวจสอบ claims แต่การไว้วางใจโทเค็นยังคงต้องการการตรวจสอบฝั่งเซิร์ฟเวอร์ด้วยกุญแจลับหรือกุญแจสาธารณะ
โทเค็นของฉันถูกส่งไปที่ใดหรือไม่: ไม่ ตัวถอดรหัสทำงานในเบราว์เซอร์ของคุณทั้งหมด โทเค็นไม่ออกจากอุปกรณ์ และมีคำขอออกเครือข่ายเป็นศูนย์ระหว่างการถอดรหัส เปิด DevTools และตรวจสอบด้วยตัวเอง
ถอดรหัสโทเค็นที่หมดอายุได้ไหม: ใช่ ตัวถอดรหัสทำงานโดยไม่คำนึงถึงการหมดอายุ มันตั้งธงโทเค็นว่าหมดอายุและแสดงเมื่อ claim exp ผ่าน ซึ่งช่วยเมื่อดีบักว่าทำไมคำขอถูกปฏิเสธ
ฟิลด์ alg บอกอะไรฉัน: มันระบุอัลกอริทึมการลงนาม — HS256 สำหรับ HMAC-SHA256, RS256 สำหรับ RSA, ES256 สำหรับ ECDSA และอื่นๆ หาก alg เป็น "none" โทเค็นไม่มีการลงนาม ซึ่งเกือบจะเสมอเป็นจุดบกพร่องด้านความปลอดภัย
ทำไม timestamps เป็นตัวเลข: JWT claims ใช้วินาทีของ Unix epoch Toova แปล iat, nbf และ exp เป็นเขตเวลาท้องถิ่นของคุณเพื่อให้คุณอ่านได้ ในขณะที่รักษาค่าดิบให้มองเห็นได้สำหรับการอ้างอิง

ตัวถอดรหัสและตรวจสอบ JWT

ทำไมต้องถอดรหัส JWT ในเครื่อง

สิ่งที่คุณเห็นในเอาต์พุตที่ถอดรหัส

ถอดรหัสเท่านั้น ไม่ไว้วางใจ

คำถามที่พบบ่อย