iss — issuer (token'ı kim oluşturdu) sub — subject (temsil ettiği kullanıcı/hesap) aud — audience (kim kabul etmeli) exp — expiry (Unix timestamp) iat — issued-at (Unix timestamp) nbf — not-valid-before (Unix timestamp)

JWT Decoder

JWT'yi yapıştır, header ve payload'ı çöz. Tüm decode tarayıcında çalışır — token'lar sayfayı asla terk etmez.

JWT

Header

Sonucu görmek için yukarıya giriş yapın.

Payload

Sonucu görmek için yukarıya giriş yapın.

Signature (base64url, not verified)

Sonucu görmek için yukarıya giriş yapın.

This tool decodes only — it does not verify the signature against a key. Treat decoded payload as untrusted until verified.

Bu ne işe yarar?

Bir JWT (JSON Web Token) nokta ile birleştirilmiş üç base64url-kodlanmış parçadır: header.payload.signature. Header ve payload, inceleyebileceğin JSON nesneleridir; imza, token'ın verildikten sonra değiştirilmediğini kanıtlar. Bu araç ilk iki kısmı çözer, böylece base64 gürültüsü olmadan içinde ne olduğunu görebilirsin — auth akışları, süresi dolmuş oturumlar veya "tam olarak hangi kullanıcı için bu token?" debug ederken kullanışlıdır.

Ne zaman kullanılır

Başarısız olan bir OAuth / OpenID Connect girişini debug etme — access veya ID token'ı yapıştır, IdP'nin gerçekte ne verdiğini gör.
Token süresinin dolduğunu doğrulama: araç exp'i gerçek bir tarih olarak çözer ve geçmişteyse işaretler.
Bir backend'in iddia ettiği özel claim'lerin (roller, izinler, tenant ID'ler) sanity check'i.
Kütüphanenin "geçersiz olarak reddettiği" bir token'ı okuyarak sorunun yapısal mı, expiry mi yoksa imza mı olduğunu görme.

Yaygın claim'ler

iss — issuer (token'ı kim oluşturdu)
sub — subject (temsil ettiği kullanıcı/hesap)
aud — audience (kim kabul etmeli)
exp — expiry (Unix timestamp)
iat — issued-at (Unix timestamp)
nbf — not-valid-before (Unix timestamp)

Sık yapılan hatalar

Decoded bir JWT doğrulanmış bir JWT DEĞİLDİR. İmza burada kontrol edilmez — bu, veren tarafın açık anahtarını (RSA/EC) veya paylaşılan secret'ı (HMAC) gerektirir. Çözülmüş içerik sana token'ın ne dediğini söyler, ona güvenip güvenmemen gerektiğini değil. Claim'leri onurlandırmadan önce sunucuda her zaman doğrula.
Production token'larını hiçbir yere yapıştırma. Canlı bir JWT olan herkes exp'e kadar kullanıcıyı taklit edebilir. Tarayıcı bu araçtan iletmez ama uzantılar, ekran kayıtları ve dev tools yapabilir. Paylaşman gerekiyorsa test ortamından taze bir token kullan.
alg: none token'ları bilinen bir saldırı sınıfıdır. Bir header'da alg: none varsa ve kütüphanen kabul ediyorsa, saldırganlar token sahteleyebilir. Sunucuda reddet.
Zaman kayması önemlidir. Bir token'ın exp'i doğrulayıcının saatine karşı kontrol edilir. Kayan saatler burada geçerli görünen token'ları başarısız yapar.