Stax

JWT Decoder

فك تشفير رموز JWT وفحص الترويسة والحمولة وتاريخ الانتهاء.

ما هو JWT decoder؟

أداة لفك ترميز JSON Web Tokens وعرض محتواها (Header، Payload، Signature). أساسي للمطورين الذين يعملون مع مصادقة API، debugging مشاكل المصادقة، فهم claims. JWT لا يكون مشفّراً (إلا JWE) - يمكن قراءته.

هيكل JWT

  1. Header - الخوارزمية ونوع التوكن
  2. Payload - الـ claims (user، exp، scope)
  3. Signature - التحقق من السلامة
  4. ثلاث أجزاء مفصولة بنقاط
  5. كل جزء مرمّز بـ Base64URL

Claims شائعة

  • sub (subject) - user ID
  • iss (issuer) - من أصدر
  • exp (expiration) - وقت الانتهاء
  • iat (issued at) - وقت الإصدار
  • aud (audience) - لمن
  • scope/roles - الصلاحيات

أفضل ممارسات JWT

استخدم HTTPS فقط (وإلا يُسرق). لا تضع passwords أو معلومات حساسة في payload (قابل للقراءة). expiration قصير (15 دقيقة - 1 ساعة). refresh tokens للجلسات الطويلة. تحقق من signature على الخادم. استخدم RS256 أو ES256 (asymmetric)، تجنب HS256 إذا كان السر مشترك بين خدمات متعددة.

الأسئلة الشائعة

ما هو JWT؟
JSON Web Token - معيار للمصادقة بين الخدمات. ثلاث أجزاء مفصولة بنقاط: Header.Payload.Signature. Header: نوع الخوارزمية. Payload: البيانات (user ID، صلاحيات، expiration). Signature: للتحقق من عدم العبث. شائع في APIs، SSO، microservices.
هل JWT آمن؟
نعم لكن بشروط: استخدم HTTPS فقط (وإلا يُسرق). signature يمنع التعديل لكن payload قابل للقراءة - لا تضع passwords فيه. expiration قصير (15 دقيقة - 1 ساعة). refresh tokens للجلسات الطويلة. تحقق من signature على الخادم دائماً.
هل أداة decoding تعرض كلمة سر؟
Decoding يفك الـ Base64 ويعرض المحتوى - لا يكسر الـ signature. أي شخص يمكنه decoding (الـ payload ليس مشفّراً). لكن لا يمكنه إنشاء jwt جديد بدون الـ secret key. استخدم jwt-decoder لاستكشاف الـ tokens.
ما الـ claims الشائعة؟
iss (issuer): من أصدر. sub (subject): user ID عادة. exp (expiration): متى ينتهي. iat (issued at): متى أُصدر. aud (audience): لمن. scope/roles: الصلاحيات. claims مخصصة للتطبيق. تحقق من exp قبل القبول دائماً.

أدوات ذات صلة