Pang-decode ng JWT

Mag-decode ng JSON Web Token (JWT) para makita ang header, payload, at signature nito. Kapaki-pakinabang para sa pag-debug at pag-inspect ng mga JWT token na ginagamit sa authentication at authorization.

Payload (Claims):

Header (Signing Algorithm at Token Type):

Signature:

Ang signature ay ipinapakita bilang Base64URL-encoded data. Ang signature verification ay hindi ginagawa ng tool na ito.

Dagdag pa tungkol sa JSON Web Token

Format ng JWT

Ang JSON Web Token (JWT) ay isang compact, URL-safe na paraan ng pagrepresenta ng mga claim na ililipat sa pagitan ng dalawang partido. Binubuo ito ng tatlong Base64URL-encoded na bahagi na pinaghihiwalay ng mga tuldok: header.payload.signature.

JOSE (JSON Object Signing and Encryption)

Ang JWT ay bahagi ng mas malaking JOSE (JSON Object Signing and Encryption) framework, na nagbibigay ng standardized na paraan ng pag-secure ng JSON-based na data.

JSON Web Signature (JWS)

Karamihan ng mga JWT na matatagpuan mo ay JWS token—nakapirma pero hindi naka-encrypt. Ibig sabihin, mababasa ng kahit sino ang payload sa pamamagitan ng Base64URL-decoding nito, pero hindi nila mababago ito nang hindi mawawalang-bisa ang signature.

Mga Signing Algorithm

Sinusuportahan ng JWS ang iba't ibang cryptographic algorithm para sa pag-sign ng mga token. Nahahati ang mga ito sa dalawang kategorya: symmetric na algorithm (parehong key para sa pag-sign at pag-verify) at asymmetric na algorithm (private key para sa pag-sign, public key para sa pag-verify).

HMAC Algorithm (Symmetric)

HS256, HS384, at HS512 ay gumagamit ng HMAC (Hash-based Message Authentication Code) kasama ang SHA-256, SHA-384, o SHA-512 ayon sa pagkakasunod. Ang mga ito ay symmetric algorithm—ang parehong secret key ay ginagamit para mag-sign at mag-verify ng token.

RSA Algorithm (Asymmetric)

RS256, RS384, at RS512 ay gumagamit ng RSASSA-PKCS1-v1_5 kasama ang SHA-256, SHA-384, o SHA-512. Ang mga RSA algorithm ay gumagamit ng private key para mag-sign at public key para mag-verify.

Elliptic Curve Algorithm (Asymmetric)

ES256, ES384, at ES512 ay gumagamit ng ECDSA (Elliptic Curve Digital Signature Algorithm) kasama ang P-256, P-384, o P-521 na curve ayon sa pagkakasunod.

JSON Web Encryption (JWE)

Habang ang JWS ay nagbibigay ng nakapirmang token, ang JWE naman ay nagbibigay ng naka-encrypt na token kung saan ang payload ay kumpidensyal.

Mga RFC Specification

Ang mga JWT at JOSE standard ay tinukoy sa ilang IETF RFC:

  • RFC 7519 tinutukoy ang JSON Web Token (JWT)
  • RFC 7515 tinutukoy ang JSON Web Signature (JWS)
  • RFC 7516 tinutukoy ang JSON Web Encryption (JWE)
  • RFC 7517 tinutukoy ang JSON Web Key (JWK)
  • RFC 7518 tinutukoy ang JSON Web Algorithms (JWA).

Mga Kaugnay na Tool