JWT-avkodare

Vad är en JWT?

En JWT (JSON Web Token, uttalas 'jot') är en kompakt, URL-säker metod för att överföra claims (påståenden) mellan parter. Den består av tre delar separerade med punkter: header.payload.signature. Headern anger algoritmen, payloaden innehåller data (claims), och signaturen verifierar integritet. JWT:s är base64url-kodade, inte krypterade — vem som helst kan läsa payloaden.

JWT:s är standarden för autentisering i moderna webbapplikationer. Efter inloggning utfärdar servern en JWT som klienten inkluderar i Authorization-headern (Bearer token) för efterföljande förfrågningar. Servern verifierar signaturen utan att behöva göra en databasförfrågan — detta gör JWT:s tillståndslösa (stateless) och skalbara. RFC 7519 definierar standarden.

Standard JWT-claims

• sub: sub (Subject): Identifierar principalen -- vanligtvis ett anveandar-ID eller e-postadress.
• iat: iat (Issued At): Unix-tidsstampel som anger nar token skapades.
• exp: exp (Expiration): Unix-tidsstampel efter vilken token inte langre ar giltig.
• iss: iss (Issuer): Identifierar vem som utfardade token (t.ex. din autentiseringsserver).
• aud: aud (Audience): Identifierar den avsedda mottagaren av token (t.ex. ditt API).

Hur du använder detta verktyg

Klistra in en JWT-token så avkodar verktyget omedelbart headern och payloaden, visar alla claims med förklaringar, kontrollerar giltighetstid (exp, nbf, iat) och visar signaturalgoritmen. Färgkodning markerar headern (röd), payloaden (lila) och signaturen (cyan). Verktyget beräknar inte om signaturen är giltig — det kräver den hemliga nyckeln som bara servern har.

Ar det sakert att klistra in min JWT har?

Ja. Detta verktyg avkodar JWT helt i din webblasare med JavaScript. Ingen data skickas till nagon server. JWT:er bor dock alltid behandlas som kansliga autentiseringsuppgifter -- dela aldrig produktionstokens offentligt, posta dem i chattmeddelanden eller committa dem till versionskontroll.

Hur JWT-autentisering fungerar

Nar en anvandare loggar in skapar servern en JWT som innehaller anvandarens identitet och behorigheter, signerar den med en hemlig nyckel och returnerar den till klienten. Klienten inkluderar denna token i Authorization-headern for efterfoljande API-forfragnimgar. Servern verifierar signaturen for att sakerstalla att token ar autentisk och inte har modifierats.

Denna metod ar tillstandslos -- servern behover inte lagra sessionsdata i en databas. All nodvandig information ar inbaddad i sjalva token. Detta gor JWT:er ideala for distribuerade system, mikroTjanstarkitekturer och serverlosa applikationer dar delat tillstand ar svart att hantera.

Vanliga JWT-misstag

Att lagra kanslig data (losenord, kreditkortsnummer) i JWT-payloaden ar ett kritiskt misstag. Payloaden ar bara Base64-kodad, inte krypterad -- alla med token kan avkoda och lasa den. Lagra bara identifierare och icke-kansliga claims i JWT:er.

Att anvanda for langa giltighetstider ar ett annat vanligt fel. En token som ar giltig i 30 dagar ger en angripare 30 dagar att anvanda en stulen token. Hall access-tokens livslangd kort (5-15 minuter) och anvand refresh-tokens for langtidslivade sessioner.

Vanliga frågor

Är JWT:s säkra?

JWT:s är signerade, inte krypterade — payloaden kan läsas av vem som helst med base64-avkodning. Lagra aldrig känslig data (lösenord, kreditkortsnummer) i en JWT. Signaturen garanterar bara integritet — att payloaden inte manipulerats. Använd korta giltighetstider (15-60 minuter), rotera refresh tokens, lagra dem i httpOnly-cookies (inte localStorage — sårbart för XSS) och validera alltid signaturen på servern.

Vilken signeringsalgoritm ska jag använda?

HS256 (HMAC med SHA-256) är symmetriskt — samma nyckel signerar och verifierar. Enklast, bäst för enstaka servrar. RS256 (RSA med SHA-256) är asymmetriskt — privat nyckel signerar, publik nyckel verifierar. Bäst för distribuerade system (mikrotjänster) där verifierare inte ska kunna skapa tokens. ES256 (ECDSA med SHA-256) — asymmetriskt med kortare nycklar, modernare. Använd aldrig 'none'-algoritmen i produktion.