K
KekAraçlar Geliştirici Araçları

JWT Decoder/Verifier

Token’ı decode et veya doğrula.

JWT nedir? Decode vs Verify

JWT (JSON Web Token), genelde header.payload.signature şeklinde 3 parçadan oluşan bir tokendir. Decode sadece içeriği okunabilir hale getirir; imzayı doğrulamaz. Verify ise seçtiğiniz algoritma ve anahtar ile imzayı doğrular.

Decode
Token’ı parçalar, header/payload JSON’larını gösterir.
Verify
HS* için secret, RS*/ES* için PEM/JWK ile imzayı doğrular.

Nasıl kullanılır?

Decode

  1. JWT’yi JWT alanına yapıştır.
  2. Decode ile header/payload’u gör.
  3. Çıktıyı kopyalamak için ilgili kopyala butonlarını kullan.

Verify

  1. Algoritma seç (HS* / RS* / ES*).
  2. HS* için Secret gir; RS*/ES* için PEM veya JWK gir.
  3. İstersen ignore exp/nbf seçeneklerini ayarla.
  4. Verify ile sonucu doğrula ve çıktıyı kopyala.
Not: Token içeriği “decode edilebiliyor” olması token’ın güvenilir olduğu anlamına gelmez; güven için imza doğrulaması gerekir.

İpuçları

  • Token header içindeki alg ile seçtiğiniz algoritma uyumlu olmalı.
  • RS*/ES* doğrulamasında doğru public key formatını (PEM/JWK) kullandığınızdan emin olun.

Örnek format

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjMifQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Yukarıdaki örnek sadece formatı göstermek içindir. Doğrulama için doğru algoritma ve anahtar gerekir.

Gizlilik & güvenlik

  • Token/secret/public key gibi veriler işlem için API’ye gönderilir; üretim token’larını yapıştırmadan önce riskleri değerlendirin.
  • Paylaş butonu bağlantıyı kısaltabilir; ekran görüntüsü/ekip içi paylaşımda token’ı gizleyin.
API ile kullanım (x-api-key)
curl -X POST 'https://kursatbabur.com/api/tools/jwt/decode' \
  -H 'content-type: application/json' \
  -H 'x-api-key: ak_...' \
  -d '{"token":"eyJ..."}'
curl -X POST 'https://kursatbabur.com/api/tools/jwt/verify' \
  -H 'content-type: application/json' \
  -H 'x-api-key: ak_...' \
  -d '{"token":"eyJ...","algorithm":"HS256","secret":"my-secret","ignore_exp":false,"ignore_nbf":false}'

Sık Sorulan Sorular

Verify işlemi imzayı gerçekten doğruluyor mu?

Evet; seçtiğiniz algoritmaya göre HMAC secret’ı veya RSA/EC genel anahtarıyla imza matematiksel olarak doğrulanır.

ignore exp / ignore nbf seçenekleri ne işe yarar?

Süresi dolmuş veya henüz geçerli olmayan token’ları test amaçlı incelemenize izin verir; imza doğrulaması yine de yapılır.

RS256 için ne girmeliyim?

Ortak (public) anahtarı PEM formatında ya da JWK JSON nesnesi olarak girebilirsiniz; ikisinden biri yeterlidir.

Token’ım ve secret’ım sunucuda tutuluyor mu?

Doğrulama isteği API’ye gönderilir ancak kalıcı olarak saklanmaz; üretim ortamı secret’larını bu tür araçlara girmemenizi öneririz.