🔑 JWT Decoder
JSON Web Token'ınızı yapıştırın; header, payload ve imza anında çözülsün. Tarihler okunabilir hâle gelir, süre dolumu kontrol edilir — her şey tarayıcınızda çalışır.
JWT Decoder (JWT Çözücü) Nedir?
JWT decoder, bir JSON Web Token'ı oluşturan üç bölümü — header, payload ve signature — ayırıp okunabilir JSON olarak gösteren bir geliştirici aracıdır. Token'lar uygulamalar arasında kimlik doğrulama (authentication) ve yetkilendirme (authorization) bilgisini taşımak için yaygın olarak kullanılır. Bir hata ayıklama sırasında token'ın içinde hangi claim'lerin olduğunu, kullanıcının kim olduğunu ya da token'ın ne zaman dolacağını hızlıca görmek gerektiğinde bu araç işinizi kolaylaştırır. Tüm çözme işlemi tarayıcınızda gerçekleşir; yapıştırdığınız token hiçbir sunucuya gönderilmez.
JWT nasıl yapılandırılır?
Bir JWT, header.payload.signature biçiminde, nokta ile ayrılmış üç parçadan oluşur. Header kullanılan imzalama algoritmasını (örneğin HS256 veya RS256) ve token tipini içerir. Payload, uygulamaya özel verileri ve standart claim'leri (sub, iss, aud, exp, iat, nbf) taşır. Signature ise header ve payload'ın gizli anahtarla imzalanmış hâlidir ve token'ın değiştirilmediğini doğrulamak için sunucu tarafında kullanılır. Header ve payload Base64Url ile kodlanmıştır; bu yüzden şifrelenmiş değil, yalnızca kodlanmıştır ve kolayca çözülebilir.
Nasıl kullanılır?
- JWT'nizi (genellikle
eyJile başlar) yukarıdaki kutuya yapıştırın veya Yapıştır düğmesini kullanın. - Header ve payload bölümleri anında çözülerek ayrı panellerde görüntülenir; Kopyala düğmeleriyle her birini ayrı ayrı alabilirsiniz.
exp,iatvenbfalanları varsa, bunlar okunabilir tarihe çevrilir ve token'ın süresinin dolup dolmadığı yeşil (geçerli) veya kırmızı (süresi dolmuş) olarak işaretlenir.
Örnek
Diyelim ki payload'da "exp": 1716239022 görüyorsunuz. Bu değer bir Unix zaman damgasıdır (1 Ocak 1970'ten bu yana geçen saniye) ve araç bunu yerel tarih-saatinize çevirerek gösterir. Eğer bu zaman şu andan önceyse token süresi dolmuş olarak işaretlenir; gelecekteyse ve nbf de geçmişteyse token geçerli pencere içindedir.
İpuçları ve güvenlik
- İmza doğrulaması ayrıdır: Decode etmek, token'ın gerçek olduğunu kanıtlamaz. Üretim ortamında imzayı her zaman gizli ya da açık anahtarla sunucu tarafında doğrulayın.
- Payload şifreli değildir: JWT payload'ına hassas bilgi (parola, kart numarası vb.) koymayın; herkes çözebilir.
- Canlı token'lara dikkat: Gerçek bir oturum token'ını çözmek onu açığa çıkarmaz ama paylaşmamaya özen gösterin — token'ı ele geçiren kişi sizin yerinize istek yapabilir.
Sıkça Sorulan Sorular
JWT decoder imzayı doğrular mı?
Hayır. Bu araç yalnızca token'ı çözer. İmzayı doğrulamak için sunucudaki gizli ya da açık anahtara ihtiyaç vardır; bu nedenle imza geçerliliği burada kontrol edilmez. İçeriğe güvenmeden önce mutlaka sunucu tarafında doğrulayın.
Token'ım sunucuya gönderiliyor mu?
Hayır. Çözme işlemi tamamen tarayıcınızda yapılır. Yapıştırdığınız JWT hiçbir yere gönderilmez veya kaydedilmez.
exp, iat ve nbf alanları ne anlama gelir?
exp süre bitişi, iat düzenlenme zamanı, nbf ise token'ın geçerli olmaya başladığı zamandır. Hepsi Unix zaman damgası (saniye) olarak tutulur; araç bunları okunabilir tarihe çevirip şu anki zamanla karşılaştırır.
JWT nedir ve hangi bölümlerden oluşur?
JWT, nokta ile ayrılmış üç bölümden oluşur: header (algoritma ve tip), payload (claim'ler) ve signature (imza). Header ve payload Base64Url ile kodlanmış JSON'dur; bu araç onları çözer ve imzayı ham hâliyle gösterir.