يقوم مصحح JWT بفك تشفير وفحص رموز JSON الويب - من خلال تحليل الرأس والحمولة والتوقيع، وعرض المطالبات، وتحديد حالة انتهاء الصلاحية. مثالي لتصحيح مشكلات المصادقة، وفحص رموز OAuth/OIDC، والتحقق من محتوى JWT دون تشغيل أداة فك تشفير منفصلة أو زيارة موقع jwt.io.
تنسيق JWT (رمز JSON الويب) هو التنسيق المهيمن لرموز المصادقة عبر واجهات برمجة التطبيقات الحديثة - مثل OAuth و OIDC ورموز الجلسة ومصادقة API المخصصة. لكن رمز JWT يظهر كنص غير مفهوم: ثلاث سلاسل مشفرة بتنسيق Base64URL مرتبطة بنقاط. يقوم مصحح JWT بتحليل هذه السلسلة إلى أجزائها الثلاثة - الرأس (بيانات وصفية للخوارزمية)، والحمولة (المطالبات)، والتوقيع - ويفك تشفير كل جزء، ويعرض محتويات JSON مع تمييز الصيغة. يتم تحليل الحمولة للمطالبات المعروفة: iss (المصدر)، sub (الموضوع)، exp (انتهاء الصلاحية)، iat (وقت الإصدار)، nbf (ليس قبل)، aud (الجمهور)، jti (معرف الرمز). يتم تحويل وقت انتهاء الصلاحية من طابع Unix الزمني إلى صيغة قابلة للقراءة وتحديد ما إذا كان صالحاً أو منتهياً أو غير صالح بعد. لا تقوم الأداة بالتحقق من التوقيع - حيث يتطلب التحقق من التوقيع المفتاح السري وهو خارج نطاق أداة تعمل من جهة العميل - ولكنها توضح لك بدقة ما يحتويه الرمز حتى تتمكن من تصحيح مشكلات المصادقة بسرعة.
يقسم رمز JWT عند النقاط ويفك تشفير كل جزء بتنسيق Base64URL: الرأس، والحمولة، والتوقيع. يتم عرض كل منها بشكل منفصل مع تمييز الصيغة.
يعرض الخوارزمية (HS256, RS256, ES256) ونوع الرمز. تحقق بسرعة من مخطط التوقيع الذي تستخدمه الخدمة.
يحلل حمولة JSON ويعرضها بمفاتيح وسلاسل وأرقام وقيم منطقية مرمزة بالألوان. جميع المطالبات مرئية بلمحة واحدة.
يتحقق من طوابع exp (انتهاء الصلاحية) و iat (وقت الإصدار) و nbf (ليس قبل) الزمنية. يحدد ما إذا كان الرمز صالحاً أم منتهياً أم غير نشط بعد - مع أوقات قابلة للقراءة.
يتعرف على المطالبات المسجلة (iss, sub, aud, exp, iat, nbf, jti) ويوفر شروحاً سريعة لمعانيها.
يتم عرض الرمز الخام مع تلوين كل جزء بلون مميز حتى تتمكن من التمييز بصرياً بين الرأس والحمولة والتوقيع.
عندما تعيد واجهة برمجة التطبيقات خطأ 401 غير مصرح به، الصق الرمز للتحقق مما إذا كان منتهياً أو مشوهاً أو صادراً عن جهة إصدار خاطئة.
فك تشفير رموز الوصول (access tokens) ورموز التعريف (ID tokens) الناتجة عن تدفقات OAuth/OIDC لرؤية النطاقات الممنوحة، وهوية المستخدم، وانتهاء الصلاحية.
تأكد من وجود المطالبات المطلوبة (الأدوار، الأذونات، معرف المستأجر) في الرمز قبل افتراض أن الخلفية البرمجية ستقبله.
عندما يتم إنشاء رمز بواسطة خدمة خلفية، قم بفك تشفيره للتأكد من أن الحمولة تطابق ما قصدت الخدمة إصداره.
أثناء مراجعة الأمان، قم بفك تشفير الرموز المخزنة في localStorage أو ملفات تعريف الارتباط لتقييم البيانات الحساسة التي يتم كشفها من جهة العميل.
اضغط على أيقونة JWT في لوحة DevSuite Pro. تفتح لوحة بها حقل إدخال للرمز وثلاث لوحات مفكوكة التشفير.
الصق أي رمز JWT - من استجابة API، أو رأس Authorization، أو ملف تعريف ارتباط، أو localStorage. قم بتضمين أو حذف بادئة "Bearer "؛ فكلاهما يعمل.
تعرض لوحة الرأس الخوارزمية والنوع. تأكد من استخدامها للمخطط الذي تتوقعه خلفيتك البرمجية (غالباً HS256 أو RS256).
تعرض لوحة الحمولة جميع المطالبات مع تمييز الصيغة. يتم تمييز المطالبات القياسية (iss, sub, exp) مع توضيح الغرض منها.
تعرض شارة الحالة 'صالح' أو 'منتهي' أو 'غير صالح بعد'. إذا كان منتهياً، فمن المحتمل أن يكون الرمز هو سبب فشل المصادقة.
قم بتثبيت DevSuite Pro مجانًا وافتح أكثر من 64 أداة للمطورين لمتصفحك.
