sade.dev
Tool

JWT Decoder

JSON Web Token header ve payload kısımlarını çözer. İmza doğrulamaz.

Bu araç tarayıcınızda çalışır. Veriler dışarı çıkmaz.

Uyarı: Bu araç imzayı doğrulamaz. Üretimde token doğrulama her zaman sunucu tarafında yapılmalıdır.
Header 
 
 
 Payload 
 
 
 Signature doğrulanmadı 
 
 
  
   
 
 
Nasıl Çalışır
  
JWT (JSON Web Token) üç parçadan oluşur: header, payload ve signature. Üç parça nokta
(.) ile ayrılmıştır ve base64url ile encode edilmiştir.


Bu araç token’ı parçalarına ayırır, header ve payload’u JSON olarak gösterir,
signature’ı ham haliyle bırakır.


Önemli uyarı


Bu araç imzayı doğrulamaz. Bir token’ın “decode edilebiliyor olması” geçerli
olduğu anlamına gelmez. Üretimde her zaman:


    

  1. İmzayı sunucu tarafında doğrulayın (HS256 ise ortak secret, RS256 ise public key).
    2. 

  2. exp (expiration) ve nbf (not-before) claim’lerini kontrol edin.
    3. 

  3. iss ve aud claim’lerini beklediğiniz değerlerle karşılaştırın.
    4. 



Bu kontrolleri yapmadan payload içeriğine güvenmek kimlik doğrulamasını
atlamaktan farksız.


Yaygın claim’ler


    

  • iss — token’ı üreten (issuer).
    • 

  • sub — token’ın atıfta bulunduğu özne (subject), genelde user ID.
    • 

  • aud — token’ın hangi taraf için üretildiği (audience).
    • 

  • exp — geçerlilik süresi (Unix timestamp).
    • 

  • iat — üretildiği zaman (Unix timestamp).
    • 

  • nbf — kullanılabilir olduğu en erken zaman.
    • 

  • jti — benzersiz token ID — replay attack tespiti için.
    • 



JWS vs JWE


Bu araç sadece JWS (imzalanmış ama şifrelenmemiş) token’larla çalışır.
JWE (şifrelenmiş) token’larda payload base64url decode sonrası da JSON
değildir; bu durumda decode başarısız olur.


Gizlilik


Yapıştırdığınız token tamamen tarayıcınızda işlenir. Üretim token’larınızı yine
de yapıştırmamanızı öneririm — token sızabilir bir alanda durduğu sürece risktir
(history, clipboard, ekran paylaşımı).