ตรวจสอบส่วนหัว payload และการอ้างสิทธิ์ของโทเค็น JWT และตรวจสอบลายเซ็น HS256, RS256, ES256 และ EdDSA โดยตรงในเบราว์เซอร์ของคุณ

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

วิธีการทำงาน

JSON Web Tokens (JWTs) เป็นวิธีที่กะทัดรัดและปลอดภัยสำหรับ URL ในการโอนการอ้างสิทธิ์ที่ลงนามระหว่างคู่สัญญา ซึ่งกำหนดไว้ใน RFC 7519 JWT ประกอบด้วยสามส่วนที่เข้ารหัส base64url คั่นด้วยจุด: ส่วนหัว payload และลายเซ็น เครื่องมือนี้ถอดรหัสแต่ละส่วนจาก base64url แยกวิเคราะห์เป็น JSON และแสดงฟิลด์ส่วนหัว (alg, typ, kid) การอ้างสิทธิ์ payload (iss, sub, aud, iat, exp, nbf และกำหนดเอง) และการตีความที่มนุษย์อ่านได้ การประทับเวลา (iat, exp, nbf) จะถูกแปลงเป็นวันที่ ISO โดยอัตโนมัติและระบุว่าโทเค็นหมดอายุหรือยังคงใช้งานอยู่ การถอดรหัสแตกต่างจากการตรวจสอบ: ทุกคนสามารถอ่านสิ่งที่อยู่ภายในได้หลังจากโทเค็นถูกลงนาม แต่มีเพียงผู้ถือคีย์เท่านั้นที่สามารถยืนยันได้ว่ามันไม่ใช่ของปลอม เครื่องมือใช้ Web Crypto API เพื่อตรวจสอบลายเซ็น HS256/384/512 (HMAC-SHA ด้วยความลับที่แชร์) RS256/384/512 (RSASSA-PKCS1-v1_5 ด้วยคีย์สาธารณะในรูปแบบ PEM หรือ JWK) ES256/384 (ECDSA P-256/P-384) และ EdDSA (Ed25519) ทุกอย่างทำงานในเครื่อง: โทเค็น ความลับ หรือคีย์จะไม่ถูกส่งไปยังเซิร์ฟเวอร์ใด ซึ่งทำให้เครื่องมือนี้ปลอดภัยในการดีบักโทเค็นการผลิตที่คุณไม่ต้องการวางในเว็บไซต์ของบุคคลที่สาม

กรณีการใช้งาน

ดีบักว่าทำไม API ของคุณปฏิเสธโทเค็นที่ดูเหมือนถูกต้อง

ตรวจสอบว่าผู้ให้บริการการรับรองความถูกต้องของคุณกำลังออกการอ้างสิทธิ์ที่คาดหวัง (ผู้ออก ผู้ชม ขอบเขต)

ตรวจสอบลายเซ็นโทเค็นบนเครื่องท้องถิ่นโดยใช้คีย์สาธารณะหรือความลับที่แชร์

สอนนักพัฒนาเกี่ยวกับโครงสร้าง JWT และการแมปการอ้างสิทธิ์

หลีกเลี่ยงการวาง payload ที่ละเอียดอ่อนลงในเว็บไซต์ของบุคคลที่สาม