JWT Araçları — Çöz, Doğrula ve İmzala

JWT Araçları — Çöz, Doğrula ve İmzala nedir?

JWT Araçları; bir çözücüyü, bir imza doğrulayıcıyı ve bir HS imzalayıcıyı tek bir yerde birleştiren ücretsiz, hepsi bir arada bir JSON Web Token aracıdır. Çöz modunda bir header.payload.signature belirtecini base64url ile çözer ve başlık ile yükü biçimlendirilmiş JSON olarak gösterir. Doğrula modunda belirteç başlığındaki alg değerini okur ve imzayı Web Crypto API ile denetler: HS256, HS384 ve HS512 için paylaşılan bir HMAC gizli anahtarı, RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) ve ES256/ES384/ES512 (ECDSA) için PEM biçiminde bir açık anahtar. İmzala modunda ise bir başlık JSON'u, bir yük JSON'u, seçilen bir HS algoritması ve bir gizli anahtardan yepyeni bir belirteç oluşturup HMAC ile imzalar. Kimlik doğrulamayı, OAuth/OIDC oturumlarını ve belirteç sona ermesini gizli anahtarları uzak bir hizmete yapıştırmadan ayıklayan arka uç ve ön uç mühendisleri, QA test uzmanları ve API entegratörleri için tasarlanmıştır.

JWT Araçları — Çöz, Doğrula ve İmzala nasıl kullanılır

1. Üstte bir mod seçin: Çöz, Doğrula veya İmzala.
2. Çöz: Belirteç kutusuna bir JWT (header.payload.signature) yapıştırın ve altında biçimlendirilmiş Başlık ve Yükü okuyun — burada imza denetimi yapılmaz.
3. Doğrula: Belirteci yapıştırın, ardından HMAC gizli anahtarını (HS algoritmaları için) veya PEM açık anahtarını (RS/ES için) anahtar kutusuna yapıştırın; araç başlıktaki alg değerini okur ve yeşil 'geçerli' ya da kırmızı 'geçersiz' bir sonuç gösterir.
4. İmzala: Bir başlık JSON'u ve bir yük JSON'u girin, HS256, HS384 veya HS512 seçin, gizli anahtarınızı yazın ve görünen yeni imzalı belirteci kopyalayın.
5. Herhangi bir çıktıda Kopyala düğmesini kullanın veya çözme girdisini sıfırlamak için Temizle'yi kullanın.

Örnekler

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

valid (HS256)

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Sıkça sorulan sorular

Belirteçlerim, gizli anahtarlarım ve anahtarlarım bir yere yükleniyor mu?

Hayır. Her mod, HMAC ve imza doğrulaması için yerleşik Web Crypto API'yi (crypto.subtle), base64url ve JSON için ise JavaScript'i kullanarak tarayıcınızda tamamen istemci tarafında çalışır. Ne belirteç, ne gizli anahtar, ne de PEM anahtar — hiçbiri herhangi bir sunucuya gönderilmez; bu da üretim kimlik bilgileriyle çalışmayı güvenli kılar.

Hangi algoritmaları doğrulayabilir?

Doğrula, paylaşılan bir HMAC gizli anahtarıyla HS256, HS384 ve HS512'yi ve PEM biçiminde bir açık anahtarla RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) ile ES256/ES384/ES512 (ECDSA) algoritmalarını destekler. Belirteç başlığındaki alg alanını otomatik olarak okur; bu yüzden yalnızca eşleşen gizli anahtarı veya açık anahtarı sağlamanız yeterlidir.

Hangi algoritmalarla imzalayabilir?

İmzala modu yalnızca HMAC ile imzalanmış belirteçler üretir — HS256, HS384 veya HS512 — başlık JSON'unuzdan, yük JSON'unuzdan ve bir gizli anahtardan. RSA ve ECDSA imzalama bir özel anahtar gerektirir ve burada kapsam dışıdır; RS/ES için yine de Doğrula modunda eşleşen açık anahtarla doğrulayabilirsiniz.

Çöz modu imzayı denetler mi?

Hayır. Çöz yalnızca başlık ve yükü base64url ile çözer ve biçimlendirilmiş olarak gösterir — imzayı asla doğrulamaz. Bir belirtecin gerçekliğini onaylamak için Doğrula moduna geçin ve bir gizli anahtar ya da açık anahtar sağlayın; imzası doğrulanana kadar çözülmüş bir yüke asla güvenmeyin.

Doğrulama neden geçersiz veya hata diyor?

'Geçersiz', imzanın sağladığınız gizli anahtar veya anahtarla eşleşmediği anlamına gelir. 'Hata' ise girdinin işlenemediğini gösterir — örneğin belirtecin imza bölümü eksik, alg desteklenmiyor ya da PEM açık anahtar ayrıştırılamadı. Tam belirteci ve algoritmasına uygun doğru anahtarı yapıştırdığınızdan emin olun.