JWT Decoder/Verifier
Token’ı decode et veya doğrula.
JWT nedir? Decode vs Verify
JWT (JSON Web Token), genelde header.payload.signature şeklinde 3 parçadan oluşan bir tokendir. Decode sadece içeriği okunabilir hale getirir; imzayı doğrulamaz. Verify ise seçtiğiniz algoritma ve anahtar ile imzayı doğrular.
Nasıl kullanılır?
Decode
- JWT’yi JWT alanına yapıştır.
- Decode ile header/payload’u gör.
- Çıktıyı kopyalamak için ilgili kopyala butonlarını kullan.
Verify
- Algoritma seç (HS* / RS* / ES*).
- HS* için Secret gir; RS*/ES* için PEM veya JWK gir.
- İstersen ignore exp/nbf seçeneklerini ayarla.
- Verify ile sonucu doğrula ve çıktıyı kopyala.
İpuçları
- Token header içindeki alg ile seçtiğiniz algoritma uyumlu olmalı.
- RS*/ES* doğrulamasında doğru public key formatını (PEM/JWK) kullandığınızdan emin olun.
Örnek format
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjMifQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Gizlilik & güvenlik
- Token/secret/public key gibi veriler işlem için API’ye gönderilir; üretim token’larını yapıştırmadan önce riskleri değerlendirin.
- Paylaş butonu bağlantıyı kısaltabilir; ekran görüntüsü/ekip içi paylaşımda token’ı gizleyin.
API ile kullanım (x-api-key)
curl -X POST 'https://kursatbabur.com/api/tools/jwt/decode' \
-H 'content-type: application/json' \
-H 'x-api-key: ak_...' \
-d '{"token":"eyJ..."}'
curl -X POST 'https://kursatbabur.com/api/tools/jwt/verify' \
-H 'content-type: application/json' \
-H 'x-api-key: ak_...' \
-d '{"token":"eyJ...","algorithm":"HS256","secret":"my-secret","ignore_exp":false,"ignore_nbf":false}'
Sık Sorulan Sorular
Verify işlemi imzayı gerçekten doğruluyor mu?
Evet; seçtiğiniz algoritmaya göre HMAC secret’ı veya RSA/EC genel anahtarıyla imza matematiksel olarak doğrulanır.
ignore exp / ignore nbf seçenekleri ne işe yarar?
Süresi dolmuş veya henüz geçerli olmayan token’ları test amaçlı incelemenize izin verir; imza doğrulaması yine de yapılır.
RS256 için ne girmeliyim?
Ortak (public) anahtarı PEM formatında ya da JWK JSON nesnesi olarak girebilirsiniz; ikisinden biri yeterlidir.
Token’ım ve secret’ım sunucuda tutuluyor mu?
Doğrulama isteği API’ye gönderilir ancak kalıcı olarak saklanmaz; üretim ortamı secret’larını bu tür araçlara girmemenizi öneririz.