JWT dekóder
JWT token dekódolása: header és payload olvasható JSON-ként, lejárat (exp) ellenőrzéssel. Nem validál aláírást. Böngészőben, privát.
Miről szól ez az eszköz?
A JWT dekóder olvashatóvá teszi a JSON Web Token tartalmát: a header és a payload részt base64url-dekódolja és formázott JSON-ként jeleníti meg, kiemelve a lejáratot (exp), a kiállítás idejét (iat) és az érvényesség kezdetét (nbf) – olvasható dátumként, státusszal. Fontos: az eszköz NEM ellenőrzi az aláírást (ahhoz a titkos kulcs kellene) – csak dekódol, ami a token tartalmát bárki számára láthatóvá teszi. Minden a böngésződben fut, a token nem kerül szerverre.
Hogyan használd a(z) JWT dekóder-t?
-
Token beillesztése
Illeszd be a teljes JWT-t (header.payload.signature).
-
Tartalom
Olvasd le a header és payload dekódolt JSON-t.
-
Lejárat
Ellenőrizd az exp/iat/nbf claim-eket olvasható dátumként.
-
Másolás
Másold ki a header vagy payload tartalmát.
Mikor van rá szükséged?
-
Hitelesítés
Egy bejelentkezési token tartalmának ellenőrzése fejlesztés közben.
-
Hibakeresés
Miért utasítja el a szerver a tokent? Lejárt, vagy hibás a payload?
-
Jogosultság
A payload jogosultsági claim-jeinek (role, scope) gyors ellenőrzése.
-
Lejárat
Egy token érvényességi idejének gyors leolvasása olvasható formában.
A JWT három része
| Rész | Tartalma |
|---|---|
| Header | Algoritmus és token-típus |
| Payload | Claim-ek: sub, exp, iat, role… |
| Signature | Aláírás (titkos kulccsal ellenőrizhető) |
Hogyan épül fel egy JWT?
A JSON Web Token három, ponttal elválasztott részből áll. Az első a header, ami az aláírás algoritmusát írja le. A második a payload, ami a tényleges adatokat (claim-eket) tartalmazza: ki a felhasználó, meddig érvényes a token, milyen jogosultságai vannak. A harmadik a signature, amely az első két rész titkos kulccsal képzett aláírása – ez garantálja, hogy a tokent nem hamisították meg.
Fontos megérteni: a header és a payload csupán base64url-kódolt, NEM titkosított. Ez azt jelenti, hogy bárki, aki hozzáfér a tokenhez, elolvashatja a tartalmát – ezért érzékeny adatot (jelszó, titok) soha ne tegyél a payloadba. Az aláírás nem a tartalmat rejti el, hanem a hamisítást akadályozza meg. Ez az eszköz a kódolt tartalmat teszi olvashatóvá, de az aláírás érvényességét nem vizsgálja.
Hasznos tippek
-
A payload nem titkos – soha ne tegyél bele jelszót vagy érzékeny adatot.
-
Ha a szerver 401-et ad, először a lejáratot (exp) ellenőrizd itt.
-
A dekódolás nem hitelesítés – az aláírás ellenőrzése mindig szerveroldalon történjen.
-
A token itt biztonságban van (helyben dekódol), de általában óvatosan bánj vele.
Gyakori kérdések
- A JWT (JSON Web Token) egy kompakt token-formátum, amelyet gyakran használnak hitelesítéshez és jogosultságkezeléshez. Három részből áll: header (algoritmus), payload (adatok, claim-ek) és signature (aláírás), pontokkal elválasztva.
- Nem. Az aláírás ellenőrzéséhez a szerver titkos kulcsa vagy nyilvános kulcsa kellene, ami itt nem áll rendelkezésre. Az eszköz csak dekódol – a payload olvashatóvá tétele nem jelenti a token hitelességének igazolását.
- Itt igen, mert a dekódolás teljesen a böngésződben történik, a token nem kerül sehová. Fontos viszont tudni: a JWT payload NEM titkosított, csak base64-kódolt – bárki, aki megszerzi a tokent, elolvashatja a tartalmát.
- Az exp claim egy Unix timestamp, ameddig a token érvényes. Az eszköz olvasható dátummá alakítja, és jelzi, ha a token már lejárt. A lejárt tokeneket a szerverek elutasítják.
- Nem. A teljes dekódolás a böngésződben, JavaScripttel történik – a token nem hagyja el a gépedet.