JWT टोकन
JWT टोकन पेस्ट करें और तुरंत डीकोड करें।
JWT टोकन पेस्ट करें और तुरंत डीकोड करें।
इस उपकरण के बारे में
JWT (JSON Web Token) डीकोडिंग कुछ ऐसा है जो मैं प्रमाणीकरण समस्याओं को डीबग करते समय, API टोकन का निरीक्षण करते समय, या SSO एकीकरण समस्याओं को हल करते समय लगभग रोजाना करता हूं। जब कोई उपयोगकर्ता 'पहुंच अस्वीकृत' त्रुटियों की रिपोर्ट करता है, तो मैं जो पहली चीज करता हूं वह उनके JWT को डीकोड करना है ताकि समाप्ति समय, भूमिकाओं और दावों की जांच की जा सके। यह उपकरण किसी भी सर्वर पर टोकन भेजे बिना तुरंत JWT को डीकोड करता है—उत्पादन पहुंच टोकन या ग्राहक क्रेडेंशियल्स को संभालते समय महत्वपूर्ण। यह टोकन को तीन भागों (हेडर, पेलोड, सिग्नेचर) में विभाजित करता है, पहले दो को Base64 डीकोड करता है, और JSON सामग्री को पठनीय प्रारूप में प्रदर्शित करता है। सिग्नेचर दिखाया जाता है लेकिन सत्यापित नहीं किया जाता है—यह एक निरीक्षण उपकरण है, सत्यापनकर्ता नहीं। OAuth2 एकीकृत करने वाले, Auth0/Cognito टोकन को डीबग करने वाले, या JWT-आधारित प्रमाणीकरण कैसे काम करता है यह समझने वाले डेवलपर्स के लिए बिल्कुल सही। ### JWT संरचना JWT में बिंदुओं (.) द्वारा अलग किए गए 3 भाग होते हैं:
- •**हेडर** - टोकन प्रकार और साइनिंग एल्गोरिदम शामिल है (जैसे HS256, RS256)
- •**पेलोड (दावे)** - वास्तविक डेटा और दावे शामिल हैं
- •**सिग्नेचर** - सत्यापित करता है कि टोकन के साथ छेड़छाड़ नहीं की गई है
डीकोडर डेवलपर्स को डीबगिंग उद्देश्यों के लिए पेलोड सामग्री को जल्दी से देखने में मदद करता है जैसे भूमिकाएं/अनुमतियां देखना, टोकन समाप्ति की जांच करना, जारीकर्ता जानकारी सत्यापित करना, API स्कोप की जांच करना, और प्रमाणीकरण कार्यान्वयन के दौरान टोकन संरचना को मान्य करना। ### उपयोग के मामले **1. प्रमाणीकरण प्रदाताओं से टोकन डीबग करें**
- •Firebase Auth
- •Auth0
- •AWS Cognito
- •Supabase
- •Keycloak
**2. फ्रंटएंड विकास** जांचें:
- •क्या claim role=admin मौजूद है?
- •क्या उपयोगकर्ताओं के शिकायत करने पर टोकन समाप्त हो गया है?
- •क्या टोकन संरचना सही है?
**3. बैकएंड विकास** बैकएंड में सत्यापन लिखने से पहले पेलोड को मान्य करें। **4. QA / परीक्षण** API परीक्षण के दौरान API टोकन की जांच करें। **5. सुरक्षा समीक्षा (त्वरित निरीक्षण)** सुरक्षा के लिए सिग्नेचर एल्गोरिदम (alg) की जांच करें:
- •HS256, RS256, ES256 → ✓ सुरक्षित
- •NONE → ⚠️ असुरक्षित
**6. OAuth 2.0 / OpenID Connect डीबगिंग** देखें:
- •`iss` - जारीकर्ता
- •`aud` - दर्शक
- •`exp` - समाप्ति
- •`nonce` - रिप्ले अटैक रोकथाम
- •`azp` - अधिकृत पक्ष
कैसे उपयोग करें
इनपुट फ़ील्ड में JWT टोकन (प्रारूप: xxxxx.yyyyy.zzzzz) पेस्ट करें। उपकरण स्वचालित रूप से इसे हेडर, पेलोड और सिग्नेचर अनुभागों में विभाजित करता है। हेडर एल्गोरिदम (HS256, RS256, आदि) और टोकन प्रकार दिखाता है। पेलोड उपयोगकर्ता ID (sub), समाप्ति (exp), जारी किया गया (iat), जारीकर्ता (iss), और आपके ऐप द्वारा जोड़े गए कस्टम दावों जैसे दावों को प्रदर्शित करता है। समाप्ति समय Unix टाइमस्टैम्प हैं—उपकरण इन्हें पठनीय तारीखों में बदल सकता है। जब API 401 त्रुटियां लौटाते हैं तो इसका उपयोग करें यह जांचने के लिए कि क्या टोकन समाप्त हो गए हैं, प्राधिकरण को डीबग करते समय यह सत्यापित करने के लिए कि भूमिका/अनुमति दावे मौजूद हैं, या JWT संरचना सीखते समय। ### उपयोग कैसे करें 1. अपना JWT टोकन कॉपी करें 2. इसे इनपुट फ़ील्ड में पेस्ट करें 3. उपकरण स्वचालित रूप से हेडर, पेलोड और सिग्नेचर को अलग करता है 4. डीकोड किए गए परिणाम देखें: JSON + दावों का विवरण 5. यदि आवश्यक हो तो कॉपी/एक्सपोर्ट बटन का उपयोग करें
सामान्य उपयोग के मामले
प्रमाणीकरण त्रुटियों को डीबग करें
उपयोगकर्ता को 401 त्रुटि मिलती है; उनके टोकन को डीकोड करें यह जांचने के लिए कि क्या exp (समाप्ति) टाइमस्टैम्प बीत चुका है—टोकन आमतौर पर 15-60 मिनट में समाप्त हो जाते हैं।
दावों को सत्यापित करें
अन्य समस्याओं की जांच करने से पहले यह पुष्टि करने के लिए एक्सेस टोकन को डीकोड करें कि आवश्यक दावे (भूमिकाएं, अनुमतियां, ईमेल सत्यापित) मौजूद हैं।
मल्टी-टेनेंट डीबगिंग
टोकन में tenant_id या organization_id दावों की जांच करें यह सुनिश्चित करने के लिए कि उपयोगकर्ता सही टेनेंट संसाधनों तक पहुंच रहा है।
टोकन तुलना
दावों के अंतर की तुलना करने के लिए विभिन्न वातावरणों (dev/staging/production) से टोकन डीकोड करें।
OAuth2/OpenID सीखें
संरचना और मानक दावों जैसे aud (दर्शक) और scope को समझने के लिए Auth0, Cognito, या Keycloak से नमूना टोकन पेस्ट करें।
सीमाएं और महत्वपूर्ण नोट्स
⚠️ **महत्वपूर्ण**: यह उपकरण केवल टोकन को डीकोड करता है, यह सिग्नेचर सत्यापित नहीं करता है! यह उपकरण केवल JWT को डीकोड करता है—यह सिग्नेचर सत्यापित नहीं करता है या टोकन को मान्य नहीं करता है। एक डीकोड किए गए टोकन का वैध दावों को दिखाना इसका मतलब यह नहीं है कि टोकन प्रामाणिक है; हमलावर झूठे दावों के साथ टोकन बना सकते हैं। हमेशा अपनी गुप्त कुंजी या सार्वजनिक कुंजी (RS256 के लिए) का उपयोग करके सर्वर-साइड पर सिग्नेचर सत्यापित करें। यह उपकरण मानक JWT प्रारूपों (Base64URL एन्कोडिंग में header.payload.signature) के साथ काम करता है। यह एन्क्रिप्टेड JWT (JWE) या नेस्टेड टोकन को संभाल नहीं सकता है। यदि आपके टोकन में बाइनरी डेटा या गैर-मानक एन्कोडिंग शामिल है, तो डीकोडिंग विफल हो सकती है। कोड में स्वचालित टोकन सत्यापन के लिए, उचित JWT लाइब्रेरी जैसे jsonwebtoken (Node.js), PyJWT (Python), या jose4j (Java) का उपयोग करें। सुरक्षा नोट: ऐसे ऑनलाइन टूल में संवेदनशील उत्पादन टोकन पेस्ट न करें जिन पर आप भरोसा नहीं करते—यह उपकरण क्लाइंट-साइड चलता है, लेकिन हमेशा DevTools नेटवर्क टैब में सत्यापित करें कि कुछ भी अपलोड नहीं किया गया है।
Technical Details
Edge Cases & Tricky Inputs
- •Expired tokens are still decoded — expiration is shown but does not prevent viewing claims.
- •Tokens with non-standard claims are displayed as-is without validation.
- •Nested JWTs (JWT within a claim) are not recursively decoded.
Performance & Processing
- •Decoding is instant since JWT headers and payloads are just Base64URL-encoded JSON.
- •Signature verification requires providing the secret/public key.
Developer Notes
- •Supports HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512 algorithms.
- •Standard claims (iss, sub, aud, exp, nbf, iat, jti) are highlighted and explained.
Known Limitations
- •RSA/EC signature verification requires pasting the public key manually.
- •JWE (encrypted tokens) are not supported — only JWS (signed tokens).
Related Tool Collections
Security & Cryptography
Hash generators, JWT tools, password generators, and encryption utilities for secure development.
API Development Toolchain
Test APIs, inspect headers, decode tokens, and document endpoints — everything for API development.