محلل JWT
فك تشفير وفحص JSON Web Tokens لعرض الرأس، الحمولة، والمطالبات.
لصق JWT لفك تشفير محتواه.
تحليل JWT — فك تشفير وفحص JSON Web Tokens عبر الإنترنت مجانًا
يتيح لنا المُحلّل المجاني عبر الإنترنت لـ JSON Web Token (JWT) لصق أي JSON Web Token وإظهار محتواه المفكّر فورًا: الرأس، والحمولة، والتوقيع. تحقق من معلومات التوكن مثل المصدر، الموضوع، تاريخ الانتهاء، والجمهور دون الحاجة لكتابة أي كود. كل شيء يعمل داخل متصفحك — لا يتم إرسال أي توكنات إلى خوادم.
ما هو JSON Web Token (JWT)؟
JSON Web Token (JWT) هو معيار مفتوح (RFC 7519) لنقل المعلومات بأمان بين الأطراف ككائن JSON. تُستخدم JWT بشكل شائع للتحقق من الهوية وتحديد الصلاحيات في تطبيقات الويب. عند تسجيل الدخول إلى موقع ويب، يُرجع الخادم غالبًا JWT الذي يُضمنه المتصفح في طلباته اللاحقة لإثبات هويتك.
يتكون JWT من ثلاث أجزاء مفصولة بفاصلات:
- الرأس (Header) — يحدد نوع التوكن والخوارزمية المستخدمة في التوقيع (مثال:
{"alg": "HS256", "typ": "JWT"}) - الحمولة (Payload) — تحتوي على المطالبات — بيانات حول الكيان (عادة المستخدم) والمعلومات الإضافية (مثال:
{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}) - التوقيع (Signature) — يُستخدم لتأكيد أن التوكن لم يتم تعديله
كل جزء مُشفّر باستخدام Base64Url، مما يجعل التوكن مضغوطًا وآمنًا للاستخدام في الروابط. على سبيل المثال، يبدو JWT نموذجي كـ eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.
كيفية استخدام هذا المُحلّل لـ JWT
- لصق توكنك في الحقل المخصص. يجب أن يكون التوكن سلسلة تحتوي على ثلاث أجزاء مُشفّرة عبر Base64Url مفصولة بفاصلات.
- عرض الرأس المفكّر — تظهر خوارزمية التوكن ونوعه والمعلومات الأخرى فورًا.
- عرض الحمولة المفكّرة — تُعرض جميع المطالبات في جدول منسق وسهل القراءة مع تحويل التواريخ إلى صيغة قابلة للقراءة.
- التحقق من حالة التوكن — يقوم الأداة تلقائيًا بفحص ما إذا كان التوكن منتهي الصلاحية بناءً على مطالبة
exp. - نسخ أي قسم — انقر على زر النسخ بجانب الرأس أو الحمولة لنسخ JSON المفكّر.
يتم فك التشفير بالكامل محليًا في متصفحك باستخدام دالة atob المدمجة في JavaScript. لا يتم نقل أي بيانات عبر الشبكة.
الميزات الرئيسية
| الميزة | الفائدة |
|---|---|
| فك التشفير فورًا | يتم فك الرأس والحمولة أثناء الكتابة |
| إخراج JSON منسق | JSON مُنسق مع تلوين لغة البرمجة |
| تحويل التواريخ | تُعرض مطالبات iat، exp، وnbf كتواريخ قابلة للقراءة |
| فحص انتهاء الصلاحية | يكتشف تلقائيًا ويُبرز التوكنات المنتهية الصلاحية |
| وصف المطالبات | تُصنف المطالبات الشائعة مثل sub، iss، وaud |
| نسخ إلى المُستعرض | قم بنسخ JSON الرأس أو الحمولة بضغط زر واحد |
| لا نقل بيانات | يتم فك التشفير بالكامل محليًا في متصفحك |
مراجع المطالبات الشائعة في JWT
| المطالبة | الاسم | الوصف |
|---|---|---|
iss |
المصدر | يحدد الكيان الذي أصدر التوكن |
sub |
الموضوع | يحدد الكيان الذي يرتبط به التوكن |
aud |
الجمهور | يحدد المتلقيين المقصودين بالتوكن |
exp |
وقت الانتهاء | التواريخ والوقت بعد ال котор يصبح التوكن غير صالح |
nbf |
لا يقبل قبل | التواريخ والوقت قبل ال котор لا يصبح التوكن صالحًا |
iat |
وقت الإصدار | التواريخ والوقت الذي تم فيه إصدار التوكن |
jti |
مُعرّف التوكن | مُعرّف فريد للتوكن |
name |
الاسم | الاسم الكامل للمستخدم |
email |
البريد الإلكتروني | عنوان بريد المستخدم |
role |
الدور | دور المستخدم أو مستوى الصلاحيات |
scope |
نطاق | الصلاحيات الممنوحة أو النطاقات |
لتحويل البيانات لاستخدامها في الروابط، جرّب أداة مُشفّر/مُحلّل الروابط. لتحويل البيانات إلى Base64، استخدم أداة مُشفّر/مُحلّل Base64.
استخدامات واقعية
تصحيح مشاكل التحقق
عندما يبلغ المستخدم عن عدم القدرة على الوصول إلى مورد مُحمي، الخطوة الأولى هي فحص توكنه. فك التوكن لفحص ما إذا كان منتهي الصلاحية، أو إذا كانت مطالبة sub تطابق معرف المستخدم المتوقع، أو إذا كانت مطالبة role تحتوي على الصلاحيات اللازمة.
التحقق من محتوى التوكن أثناء التطوير
عند بناء أو اختبار واجهة برمجة التطبيقات (API)، تحتاج غالبًا إلى التحقق من أن الخادم يصدر توكنات تحتوي على المطالبات الصحيحة. لصق التوكن في المُحلّل لفحص الحمولة بسرعة دون كتابة نسخة اختبار.
فحص التوكنات من مصادر خارجية
عند فحص توكنات من مصادر خارجية، تحتاج غالبًا إلى التحقق من أن الخادم يصدر توكنات تحتوي على المطالبات الصحيحة. لصق التوكن في المُحلّل لفحص الحمولة بسرعة دون كتابة نسخة اختبار.
فحص التوكنات من مصادر خارجية
عند فحص توكنات من مصادر خارجية، تحتاج غالبًا إلى التحقق من أن الخادم يصدر توكنات تحتوي على المطالبات الصحيحة. لصق التوكن في المُحلّل لفحص الحمولة بسرعة دون كتابة نسخة اختبار.
النصائح
- استخدم توكنات منخفضة الصلاحية — تقلل من المخاطر الناتجة عن اختراق التوكن.
- تحصين البيانات — تأكد من أن البيانات المُضمنة في الحمولة لا تحتوي على معلومات حساسة.
- تفعيل التحقق من الهوية — استخدم طبقات إضافية مثل التحقق عبر المصادقة الثنائية.
- تتبع توكناتك — اجعل من السهل تتبع توكناتك وتعقبها في حال فقدانها.
- استخدم أداة مُحلّلة — استخدم أدوات مُحلّلة متقدمة لفحص توكناتك وتحليلها.
الأسئلة الشائعة
ما هو JSON Web Token (JWT)؟
JSON Web Token (JWT) هو معيار مفتوح لنقل البيانات بأمان بين الأطراف، ويُستخدم بشكل شائع في تطبيقات الويب.
ما الفرق بين الرأس والحمولة؟
الرأس يحتوي على معلومات عن التوكن مثل الخوارزمية المستخدمة، بينما الحمولة تحتوي على البيانات الفعلية مثل المطالبات.
هل يمكن استخدام JWT في التطبيقات المحمولة؟
نعم، يمكن استخدام JWT في التطبيقات المحمولة، ويمكن تضمينها في طلبات HTTP كجزء من رأس الطلب.
ما المخاطر المرتبطة باستخدام JWT؟
المخاطر تشمل اختراق التوكن، وفقدانه، واستخدامه من قبل طرف ثالث.
هل يمكن تجديد توكن JWT؟
نعم، يمكن تجديد توكن JWT باستخدام أسلوب مناسب، مثل إصدار توكن جديد مع وقت انتهاء صلاحية محدث.