فك ترميز JWT

بداية سريعة

1

الصق JWT كاملًا من ثلاث مقاطع مفصولة بنقطة.

2

اعرض JSON للرأس والحمولة؛ يظهر التوقيع كنص خام ولا يتم التحقق منه.

3

افحص exp/nbf/iat حسب التوقيت المحلي وUTC.

4

انسخ الجزء المطلوب؛ امسح الرموز الحساسة عند الانتهاء.

سيناريوهات شائعة

تصحيح أخطاء API

فحص محتوى الرمز المميز بسرعة ومقارنة المطالبات

التحقق من انتهاء الصلاحية

افحص حقل exp لمعرفة صلاحية الرمز

تعلم JWT

فهم بنية الرأس/الحمولة وترميز Base64URL

مقارنة البيئات

قارن الرموز بين dev/test/prod

نصائح الاستخدام

الحمولة التي تم فك تشفيرها قابلة للقراءة، وغير موثوقة. يجب أن تتحقق أنظمة الإنتاج من التوقيع والتحقق من صحة قواعد iss وaud وsub ونطاق وإلغاء على الواجهة الخلفية.

تجنب لصق الرموز ذات البيانات الحساسة على الأجهزة العامة

حقول الوقت هي طوابع Unix (ثوان)؛ الأداة تحول تلقائياً إلى الوقت المحلي/UTC

عقد فك التشفير

يجب أن يكون الإدخال JWT مضغوطًا من ثلاثة أجزاء بصيغة header.payload.signature. رموز JWE ذات الخمسة أجزاء وتنسيقات token المخصصة خارج نطاق هذا المفكك.

يتم فك ترميز الرأس والحمولة بواسطة Base64URL كـ UTF-8 ثم يتم تحليلهما كـ JSON. إذا كان أي من الجزأين غير صالح Base64URL أو JSON، فسيظل إدخال المصدر في مكانه وستظهر النتيجة خطأ المطابقة.

تعرض لوحة التوقيع الجزء الثالث الخام فقط. لا يتم هنا تحقق بمفتاح سري أو مفتاح عام أو JWK/JWKS أو Web Crypto.

الحدود الأمنية

يعمل فك ترميز JWT محليًا داخل المتصفح. قد يبقى إدخال token كمسودة في المتصفح. إذا كان مساحة عمل محفوظة أو مزامنة WebDAV مفعلة، فقد يتم حفظ إدخال token عبر تلك المزامنة. بيانات عرض Header وPayload وSignature وبطاقات وقت claim وأخطاء التحليل وحالة النسخ وسجل التراجع مشتقة من token الحالي، ولا تُحفظ كبيانات نتيجة منفصلة. هذه الأداة لا تتحقق من التوقيعات، ولا تجلب JWKS أو عناوين URL، ولا ترفع tokens، ولا تنشئ مرفقات أو تنزيلات لملفات مفكوكة الترميز. على جهاز مشترك، امسح token وبيانات الموقع عند الانتهاء.

إذا كان الرمز المميز يحتوي على معلومات حساسة، فاستخدم جهازًا خاصًا وامسح الإدخال بعد الفحص.

فك التشفير يجعل المطالبات قابلة للقراءة فقط. ولا يثبت أن الرمز المميز قد تم إصداره بواسطة الخادم الخاص بك، أو أنه تم قبوله بواسطة API، أو أنه آمن للثقة.

يتم عرض alg، وkid، وiss، وaud، وsub، وscope، والأدوار، وjti كحقول JSON عادية. قم بالتحقق من صحتها باستخدام الواجهة الخلفية وبيانات تعريف جهة الإصدار والمفاتيح وقواعد الجمهور وسياسة الإلغاء.

تستخدم حالة الوقت exp وnbf مع ساعتك المحلية. يمكن أن يؤدي انحراف ساعة الخادم وفترات السماح وإبطال الجلسة وحالة الرمز المميز للتحديث إلى تغيير النتيجة الحقيقية.

غير مدعوم هنا: التحقق من التوقيع، وإدخال secret أو public key، والبحث عن JWK/JWKS، واكتشاف OIDC، واستبطان OAuth، وفك تشفير JWE، وتحليل JWT المتداخل، وإنشاء token، والتحقق الخادمي.

القيود والتوافقية

فك ترميز Base64URL فقط — لا تحقق من التوقيع

JWT القياسي ذو 3 أجزاء فقط مدعوم؛ JWE أو التنسيقات المخصصة غير مدعومة

JWT المتداخل (JWT داخل payload) لا يُعالج

حالة الوقت ليست فحص صلاحية كاملًا. قد لا يكون token منتهي الصلاحية ومع ذلك يرفضه الخادم.

تقدم هذه الصفحة إجراءات النسخ فقط. ولا يقوم بتنزيل أو تصدير أو حفظ أو مشاركة ملفات الرموز المميزة التي تم فك تشفيرها.

الخصوصية والأمان

يعمل فك ترميز JWT محليًا داخل المتصفح. قد يبقى إدخال token كمسودة في المتصفح. إذا كان مساحة عمل محفوظة أو مزامنة WebDAV مفعلة، فقد يتم حفظ إدخال token عبر تلك المزامنة. بيانات عرض Header وPayload وSignature وبطاقات وقت claim وأخطاء التحليل وحالة النسخ وسجل التراجع مشتقة من token الحالي، ولا تُحفظ كبيانات نتيجة منفصلة. هذه الأداة لا تتحقق من التوقيعات، ولا تجلب JWKS أو عناوين URL، ولا ترفع tokens، ولا تنشئ مرفقات أو تنزيلات لملفات مفكوكة الترميز. على جهاز مشترك، امسح token وبيانات الموقع عند الانتهاء.

إذا كان الرمز المميز يحتوي على معلومات حساسة، فاستخدم جهازًا خاصًا وامسح الإدخال بعد الفحص.

بداية سريعة

سيناريوهات شائعة

تصحيح أخطاء API

التحقق من انتهاء الصلاحية

تعلم JWT

مقارنة البيئات

نصائح الاستخدام

عقد فك التشفير

الحدود الأمنية

القيود والتوافقية

الخصوصية والأمان

أسئلة شائعة

لماذا يظهر "تنسيق غير صالح"؟

يظهر "منتهي" لكن الخادم يقبله؟

بداية سريعة

سيناريوهات شائعة

تصحيح أخطاء API

التحقق من انتهاء الصلاحية

تعلم JWT

مقارنة البيئات

نصائح الاستخدام

عقد فك التشفير

الحدود الأمنية

القيود والتوافقية

الخصوصية والأمان

أسئلة شائعة

لماذا يظهر "تنسيق غير صالح"؟

يظهر "منتهي" لكن الخادم يقبله؟

أدوات ذات صلة