هل هناك مشكلة في هذه الأداة؟
عن «مفكك رموز JWT عبر الإنترنت»
تفك هذه الأداة JSON Web Token (JWT) إلى أجزائه الثلاثة المكونة: header، payload، والتوقيع. الصق رمزًا مميزًا من تدفق المصادقة لتطبيقك، أو رأس Authorization، أو ملف تعريف ارتباط، وتعيد الأداة محتويات JSON المحلَّلة للرأس والحمولة جنبًا إلى جنب مع بايتات التوقيع الخام.
تستخدم JWTs على نطاق واسع للمصادقة وإدارة الجلسات وتفويض API. يكشف فك التشفير (وليس التحقق) عن البيانات التي يحملها الرمز المميز — معرف المستخدم، وقت انتهاء الصلاحية، النطاقات، المطالبات المخصصة — مفيد لتصحيح مشاكل المصادقة وتأكيد ما أرسله العميل فعلاً.
مهم: هذه الأداة تفك التشفير ولكنها لا تتحقق من التوقيعات. يُظهر JWT المفكوك ما يدعيه المُصدر، وليس ما إذا كانت تلك الادعاءات أصلية. للتحقق الأمني، يجب على خادمك التحقق من التوقيع مقابل المفتاح العام للمُصدر.
كيف تستخدم هذه الأداة
كيف أفحص ترويسة وحمولة JSON Web Token؟
ألصق JWT
ضع الرمز في حقل «Token». تبدو JWT مثل `xxx.yyy.zzz` — ثلاثة أقسام base64url مفصولة بنقاط. تقسم الأداة على النقاط وتفكّ القسمين الأولين.
اضغط «تشغيل»
تعيد النتيجة `header` (الخوارزمية والنوع، مثل `{ "alg": "HS256", "typ": "JWT" }`) و `payload` (مطالباتك — `sub` و `exp` و `iat` بالإضافة للخاصة بالتطبيق). القسم الثالث (التوقيع) لا يُتحقَّق ولا يُعرَض.
ما ليس هذا
فكّ التشفير ≠ التحقّق. أي شخص لديه الرمز يقرأ الحمولة؛ ما يُثبت الأصالة هو التوقيع الذي يحتاج مفتاحًا/سرًا. لا تثق بالرموز غير الموقّعة — استخدم jwt-encoder أو مكتبة الـ auth للتحقّق على خادم تتحكم به.
مطالبات شائعة تستحق الفحص
`exp` طابع Unix — لا ينبغي قبول الرموز المنتهية حتى لو كان التوقيع صالحًا. `iss` ينبغي أن يطابق المُصدِر المتوقَّع. `aud` ينبغي أن يطابق خدمتك. إن بدا الـ payload سليمًا وفشلت المصادقة، فالتوقيع خاطئ لا المطالبات.