Online JWT Çözücü ve Doğrulayıcı

JSON Web Token'ları anında decode edin. İmza doğrulama, claim analizi ve süre kontrolü (expiration) için geliştirici aracı.

Girdi

JWT

Secret / Public Key (opsiyonel)

İmzayı doğrula Algoritma (opsiyonel)

Header/payload decode eder. Doğrulama HS* ve RS256 (key verilirse).

Çıktı

Modern Kimlik Doğrulamanın Kalbi: JSON Web Token (JWT) Analizi

Geleneksel "Session ID" tabanlı oturum yönetiminin yerini, modern mikroservis mimarilerinde ve SPA (Single Page Application) uygulamalarında JWT (JSON Web Token) almıştır. Ancak bu "Stateless" (durumsuz) yapı, beraberinde hata ayıklama zorluklarını getirir. Bir API isteği "401 Unauthorized" döndürdüğünde; sorunun süresi dolmuş bir token mı, yanlış bir yetki alanı (scope) mı, yoksa bozuk bir imza mı olduğunu anlamak zordur. JWT Debugger aracımız, Base64Url ile kodlanmış bu karmaşık dizeleri alır ve üç ana bileşene (Header, Payload, Signature) ayırarak insan tarafından okunabilir JSON formatına dönüştürür.

Güvenlik Kritik: İmza (Signature) Doğrulama ve Algoritmalar

Bir JWT'nin en önemli kısmı, verinin değiştirilmediğini garanti eden "İmza" bölümüdür. Geliştiriciler genellikle HS256 (Simetrik Anahtar) ve RS256 (Asimetrik Anahtar - Public/Private Key) algoritmaları arasında geçiş yaparken yapılandırma hataları yaparlar. Aracımız, token'ın hangi algoritma ile imzalandığını (`alg` parametresi) gösterir ve eğer gizli anahtarınızı (Secret Key) girerseniz, imzanın geçerli olup olmadığını (Verified/Invalid) test etmenize olanak tanır. Bu özellik, özellikle "Man-in-the-Middle" saldırılarına karşı token bütünlüğünü test etmek için hayati önem taşır.

Zaman Damgaları ve Claim (Hak Talebi) Denetimi

JWT'ler, içerdikleri "Claims" (iddialar) ile çalışır. En kritik olanlar zamanla ilgili olanlardır: `exp` (Expiration Time), `nbf` (Not Before) ve `iat` (Issued At). Geliştiricilerin yaşadığı "Token çalışmıyor" şikayetlerinin %90'ı, sunucu saati ile token saati arasındaki uyuşmazlıktan veya süresi dolmuş tokenlardan kaynaklanır. Aracımız, bu Unix zaman damgalarını otomatik olarak yerel tarihe çevirir ve token'ın şu an geçerli olup olmadığını görsel olarak işaretler. Ayrıca `sub` (Subject), `iss` (Issuer) ve `aud` (Audience) gibi standart alanları kontrol ederek OAuth2 ve OpenID Connect entegrasyonlarındaki yapılandırma hatalarını bulmanızı sağlar.

FAQ

Güvenlik önceliğimizdir. İmza doğrulama işlemi tamamen tarayıcınızda (Client-Side) JavaScript ile yapılır. Ne tokenlarınız ne de girdiğiniz gizli anahtarlar sunucularımıza gönderilmez.

Payload kısmındaki `exp` (Expiration) alanı tokenın son kullanma tarihini belirtir. Aracımız bu sayıyı okunabilir bir tarihe çevirir ve süresi geçmişse kırmızı bir uyarı gösterir.

Kısmen. JWT'nin Header ve Payload kısımları standart Base64Url kodlamasıdır ve herkes tarafından çözülebilir. Ancak Signature kısmı şifreli bir hash işlemidir. Aracımız her iki işlemi de bağlamına uygun yapar.

HS256, hem imzalama hem doğrulama için tek bir gizli anahtar (Secret) kullanır. RS256 ise imzalama için "Private Key", doğrulama için "Public Key" kullanır. RS256 daha güvenli ve ölçeklenebilirdir.

Hayır. Standart JWT'ler (JWS) sadece imzalıdır, şifreli değildir; bu yüzden içindeki veriler okunabilir. JWE (JSON Web Encryption) ise veriyi gizler ve içeriği görmek için Private Key gerektirir.