Dekoduj i waliduj tokeny JSON Web Token z weryfikacją podpisu
Wklej token JWT powyżej, aby go zdekodować i zwalidować.
Nagłówek zazwyczaj zawiera typ tokenu (JWT) i algorytm podpisywania. Domyślne wartości są zwykle wystarczające.
Dodaj roszczenia (dane) do ładunku: identyfikator użytkownika, nazwę użytkownika, role, czas wygaśnięcia lub inne niestandardowe roszczenia według potrzeb.
Wprowadź klucz tajny do podpisywania tokenu. Przechowuj ten klucz bezpiecznie — służy do weryfikacji autentyczności tokenu.
Wybierz algorytm podpisywania: HS256 (HMAC), RS256 (RSA) lub inny. HS256 jest popularny dla kluczy symetrycznych, RS256 dla asymetrycznych.
Kliknij generuj, aby utworzyć JWT. Token zostanie wyświetlony w zakodowanym formacie.
Użyj dekodera, aby zweryfikować zawartość tokenu, sprawdzić wygaśnięcie lub debugować problemy z tokenem.
Zweryfikuj podpis tokenu za pomocą klucza tajnego, aby upewnić się, że token nie został zmodyfikowany.
Dołącz JWT do żądań API (zwykle w nagłówku Authorization) w celu uwierzytelniania i autoryzacji.
JWT służy do uwierzytelniania (potwierdzania tożsamości) i autoryzacji (określania uprawnień) w aplikacjach webowych i API.
JWT jest bezpieczny, gdy jest prawidłowo wdrożony z silnymi kluczami tajnymi, HTTPS i odpowiednimi czasami wygaśnięcia. Nigdy nie ujawniaj kluczy tajnych.
Umieść identyfikator użytkownika, nazwę użytkownika, role i czas wygaśnięcia. Unikaj poufnych danych, takich jak hasła. Utrzymuj ładunek tokenu mały dla wydajności.
Tokeny krótkoterminowe (od 15 minut do 1 godziny) są bezpieczniejsze. Używaj tokenów odświeżania dla dłuższych sesji. Dostosuj w zależności od wymagań bezpieczeństwa.
Tak, JWT można zdekodować, aby zobaczyć zawartość, ale potrzebujesz klucza tajnego, aby zweryfikować podpis i zapewnić autentyczność.
HS256 używa współdzielonego klucza tajnego (symetryczny). RS256 używa pary klucz prywatny/publiczny (asymetryczny). RS256 jest lepszy dla systemów rozproszonych.
JWT jest bezstanowy, więc nie można go bezpośrednio unieważnić. Używaj krótkich czasów wygaśnięcia, prowadź czarną listę lub stosuj tokeny odświeżania do unieważniania.
Przechowuj JWT bezpiecznie: w ciasteczkach httpOnly (najbezpieczniej), localStorage (mniej bezpieczne) lub w pamięci. Unikaj podatności XSS.
Używaj krótkich czasów wygaśnięcia, wdróż odświeżanie tokenów, monitoruj podejrzaną aktywność i rozważ dodatkowe zabezpieczenia, takie jak walidacja IP.
Tak, JWT jest powszechnie używany do uwierzytelniania API. Dołącz token w nagłówku Authorization: "Bearer <token>".
Ustaw czas wygasania tokenów dostępu na 15–30 minut. Używaj tokenów odświeżania do dłuższych sesji. Krótkoterminowe tokeny ograniczają potencjalne szkody w przypadku ich kompromitacji.
Nigdy nie przesyłaj JWT przez zwykłe połączenie HTTP. Tokeny wysyłane bez szyfrowania mogą być przechwycone i powtórzone. Wymuszaj HTTPS wszędzie tam, gdzie tokeny są przesyłane lub odbierane.
Używaj podpisywania asymetrycznego (RS256/ES256), dzięki czemu tylko serwer posiadający klucz prywatny może tworzyć tokeny, a każdy posiadający klucz publiczny może je weryfikować. HS256 wymaga udostępnienia sekretu wszystkim weryfikatorom.
Zawsze weryfikuj po stronie serwera pola iss (wystawca), aud (odbiorca), exp (wygaśnięcie) i nbf (nie wcześniej niż). Nigdy nie ufaj tokenowi bez pełnej walidacji.
Dane w JWT są kodowane w Base64, a nie szyfrowane. Każdy może je zdekodować i odczytać. Nigdy nie umieszczaj haseł, numerów kart płatniczych ani innych tajnych danych w polach tokenu.
Ustaw nagłówek typ, aby odróżnić typy tokenów (dostęp vs odświeżanie). Zapobiega to atakom polegającym na zamianie tokenów, gdzie token odświeżania jest używany jako token dostępu.
Prowadź listę zablokowanych tokenów lub używaj krótkoterminowych tokenów z rotacją odświeżania. Bez mechanizmu unieważniania skompromitowane tokeny pozostają ważne aż do naturalnego wygaśnięcia.
Przechowuj tokeny w ciasteczkach HttpOnly i Secure zamiast w localStorage. Chroni to przed atakami XSS, które próbują wykraść tokeny przez JavaScript. Ciasteczka HttpOnly są niedostępne dla skryptów po stronie klienta.
Regularnie rotuj klucze podpisywania tokenów i wdróż infrastrukturę rotacji kluczy. W przypadku kompromitacji klucza rotacja ogranicza wpływ na aktualnie ważne tokeny.
Rejestruj emisje tokenów, próby walidacji i odrzucenia na potrzeby audytu bezpieczeństwa. Monitoruj powtarzające się próby użycia nieprawidłowych tokenów — mogą wskazywać na próbę ataku.
Odkryj inne potężne narzędzia od JaneX
Koduj i dekoduj ciągi Base64, tekst, obrazy i pliki w mgnieniu oka.
Generuj hashe MD5, SHA, bcrypt i Argon2 dla tekstu, plików i adresów URL.
Konwertuj tekst między wielkimi, małymi literami, tytułowym zapisem, camelCase, PascalCase, snake_case, kebab-case i zapisem zdaniowym w mgnieniu oka.
Formatuj, minimalizuj, waliduj JSON i konwertuj między JSON a YAML. Widok drzewa i walidacja schematu.
Generuj silne, bezpieczne hasła z konfigurowalną długością i opcjami znaków.
Twórz kody QR dla adresów URL, sieci WiFi, kontaktów, e-maili i więcej w mgnieniu oka.
Kompresuj obrazy JPEG, PNG i WebP, aby zmniejszyć rozmiar pliku.
Zmieniaj rozmiary obrazów online z kontrolą proporcji.
Konwertuj obrazy między formatami JPG, PNG, WebP i GIF.
Konwertuj jednostki długości, masy, temperatury i czasu w mgnieniu oka.
Licz znaki, słowa, zdania, akapity i wiersze w mgnieniu oka.
Generuj tekst zastępczy w wielu formatach: akapity, zdania, słowa, listy, nagłówki i treść mieszana.
Generuj idealne palety kolorów za pomocą algorytmów, wyodrębniaj kolory z obrazów lub twórz ręcznie. Eksport do CSS, SCSS, JSON.
Twórz profesjonalne faktury PDF w kilka sekund. Darmowe, szybkie i z obsługą wielu walut.
Twórz imponujące CV za pomocą naszego łatwego w użyciu generatora. Wiele szablonów, natychmiastowe pobieranie PDF.
Generuj kody kreskowe w wielu formatach: EAN-13, UPC-A, Code128, Code39, ITF-14 i Codabar.
Oblicz swój wskaźnik masy ciała natychmiast w jednostkach metrycznych i imperialnych.
Skracaj adresy URL z analizą i własnymi aliasami.
Łącz wiele plików PDF w jeden. Zmiana kolejności metodą przeciągnij i upuść.
Dziel pliki PDF, wybierając strony. Wizualne miniatury i wyodrębnianie.
Kompresuj pliki PDF, aby zmniejszyć ich rozmiar. Usuwanie metadanych i optymalizacja.
Oblicz raty kredytu hipotecznego i osobistego. Rata miesięczna, łączne odsetki i harmonogram spłat.
Śledź swój cykl menstruacyjny, oblicz okno płodności i przewiduj daty owulacji.
Usuwaj tła z obrazów za pomocą AI. Eksport do przezroczystego PNG lub WebP. Działa w Twojej przeglądarce.
Prognoza pogody dla dowolnego miasta.
Darmowy codzienny horoskop według znaku zodiaku. Ogólny, miłosny, zawodowy i zdrowotny.
Szukaj przepisów według składników, przeglądaj produkty spożywcze z Nutri-Score i uzyskuj analizę zdrowotną opartą na AI.
