JWT Aracı (Çöz / Doğrula / İmzala)
JWT’leri çöz, imzayı doğrula ve yeni token üret. Sıkı mod alg=none ve anahtar/algoritma karmaşasını engeller. Token tarayıcında kalır — yükleme yok.
Bu JWT aracı hakkında
JWT’ler (JSON Web Token) modern uygulamalarda oturum, API yetkilendirme ve mobil giriş gibi akışlarda çok yaygın kullanılır. JWS biçimindeki bir JWT; header, payload ve signature olmak üzere üç Base64URL parçadan oluşur. İlk iki parçayı çözmek kolaydır, ancak doğrulama yapmadan “payload doğru” kabul etmek güvenlik hatasına yol açar. Bu araç ile tokenı yapıştırıp header/payload JSON’unu güvenle görüntüleyebilir, claim’leri (iss, sub, aud, exp, nbf, iat, jti) hızlıca inceleyebilir ve exp için geri sayım görebilirsiniz. Ayrıca düzenlediğiniz JSON’u Base64URL olarak yeniden kodlayıp tokenın nasıl değiştiğini net biçimde karşılaştırabilirsiniz (imza otomatik “düzeltilmez”).
Doğrulama WebCrypto ile tamamen tarayıcı tarafında çalışır. Sıkı mod alg=none’u reddeder, izin verilen algoritma listesini zorunlu kılar ve anahtar/algoritma karmaşasını engeller (ör. RSA anahtarıyla HS256 doğrulamak). Secret, PEM public key, JWK veya JWKS (JSON yapıştırma ya da URL’den çekme) kullanarak imzayı doğrulayın; JWKS ile kid üzerinden hangi anahtarın eşleştiğini görün. Token üretiminde ise HS*, RS/PS veya ES algoritmalarıyla test amaçlı imzalı JWT oluşturabilirsiniz — hiçbir şeyi yüklemeden.
Kullanım senaryoları
header.alg/typ ve payload claim’lerini hızlıca gör. Hiçbir şey çalıştırılmaz; sadece Base64URL çözülür ve JSON okunur.
HS/RS/PS/ES imzalarını yerelde doğrula. Sıkı mod alg=none’u engeller, izin listesi ister ve anahtar/alg uyumsuzluğunu yakalar.
JWK veya JWKS yapıştırın (ya da JWKS URL’den çekin). kid ile doğru anahtarı otomatik seçin; anahtar rotasyonu debug’ı için manuel override kullanın.
exp/nbf/iat için tarih ve geri sayım görün. Küçük saat farkları için leeway ekleyerek false negative’leri azaltın.
Header/payload JSON’u düzenleyip segmentleri yeniden kodlayın. İmzayı ayrı tuttuğu için değişikliğin imzayı neden bozduğunu açıkça görürsünüz.
Her şey tarayıcıda çalışır. Yükleme yok, token loglama yok. JWKS URL seçilirse istek doğrudan cihazınızdan gider.
Karşıladığımız arama niyetleri
JWT çözme, doğrulama ve imzalama ile ilgili yaygın aramaları kapsar.
JWT SSS
JWT şifreleme midir?
Hayır. JWT (JWS) genelde imzalı bir tokendir. Header ve payload Base64URL ile kodludur; herkes çözebilir. Güvenliği sağlayan şey imzadır.
JWS ve JWE arasındaki fark nedir?
JWS 3 parçalı imzalı JWT’dir. JWE 5 parçalı şifreli JWT’dir; içeriği görmek için doğru anahtarla deşifre gerekir.
alg=none ne demek ve neden riskli?
alg=none imza doğrulamayı kapatır. Kabul edilirse saldırganlar token uydurabilir. Sıkı mod alg=none’u reddeder.
HS ile RS arasındaki fark nedir?
HS* paylaşılan secret (HMAC) kullanır. RS*/PS* asimetrik RSA anahtarı kullanır (public verify, private sign). Birbirinin yerine geçmez.
kid nedir ve JWKS nasıl işe yarar?
kid hangi anahtarın kullanıldığını belirtir. JWKS, anahtar setidir; doğrulayıcı kid ile doğru anahtarı seçer (isterseniz manuel override da yapabilirsiniz).
Token neden “expired” veya “not active yet” oluyor?
exp ve nbf (ve iat) değerlerini kontrol edin. Bu araç exp/nbf/iat için geri sayım gösterir ve saat farkı için leeway destekler.
Clock skew (leeway) nedir?
Sunucu ve cihaz saatleri birkaç saniye şaşabilir. Leeway, exp/nbf/iat doğrulamasında küçük farkları tolere etmenizi sağlar.
Sadece decode ederek payload’a güvenebilir miyim?
Hayır. Decode etmek sadece Base64URL çözmektir. Veriye güvenmeden önce imzayı doğrulayın ve claim kontrollerini yapın.
Yeniden kodlayınca imza neden bozuluyor?
İmza header.payload üzerinde hesaplanır. Header veya payload değişirse imza da doğru anahtarla yeniden hesaplanmalıdır.
Bu araç token’ımı yükler mi?
Hayır. Çöz/Doğrula/İmzala işlemleri tarayıcınızda yapılır. Sadece JWKS URL çekme (açıksa) cihazınızdan o adrese istek gönderir.