JWT Decoder
JWT token'ınızı yapıştırın, header ve payload'ı anında çözün. Süre, claim ve algoritma analizi — tamamen tarayıcıda, sunucuya veri gönderilmez.
JWT token'ınızı yapıştırın, header ve payload'ı anında çözün. Süre, claim ve algoritma analizi — tamamen tarayıcıda, sunucuya veri gönderilmez.
JSON Web Token üç parçadan oluşur. Header algoritma ve token tipini, Payload claim'leri (exp, iat, sub vb.), Signature ise imzayı içerir. Signature sunucu tarafında doğrulanır; bu araç yalnızca header ve payload'ı decode eder.
JWT (JSON Web Token), taraflar arasında güvenli bilgi transferi için kullanılan kompakt ve bağımsız bir token formatıdır (RFC 7519). Üç bölümden oluşur: Header (algoritma ve tip), Payload (claim'ler), Signature (doğrulama). Bölümler nokta (.) ile ayrılır ve Base64URL kodludur.
Kullanım alanları: (1) Kimlik doğrulama — kullanıcı giriş yapınca server JWT üretir, sonraki isteklerde taşınır. (2) Yetkilendirme — token içindeki claim'ler erişim haklarını bildirir. (3) Bilgi alışverişi — taraflar arasında imzalı veri transferi.
hesaplatr.net JWT decoder: Header ve payload'ı otomatik decode ederek claim'leri okunabilir JSON olarak gösterir. Token formatı geçerliyse expiry ve issue date bilgileri de ayrıca vurgulanır.
Algorithm confusion: 'alg: none' veya RS256'dan HS256'ya geçiş saldırıları JWT implementasyonlarında yaygın güvenlik açığıdır. Her zaman server tarafında algoritma doğrulaması yapılmalıdır.
Hassas bilgiyi payload'a koymak: JWT imzalıdır ama şifreli değildir; payload base64 decode ile herkes tarafından okunabilir. Parola, kredi kartı numarası gibi hassas veriler JWT payload'a eklenmemeli.
Token ömrü yönetimi: Uzun ömürlü (long-lived) JWT token güvenlik riski taşır. Token ele geçirilirse iptal etmek zordur. Kısa ömürlü access token + refresh token kombinasyonu (PKCE flow) önerilir.
JWT avantajları: Stateless — sunucuda session saklamak gerekmez; horizontal scaling kolaylaşır. Microservice mimarilerinde farklı servisler aynı token'ı doğrulayabilir.
Session cookie avantajları: Server tarafında token iptal etmek kolaydır; token büyüklüğü sorun olmaz; httpOnly ve SameSite flagleriyle XSS/CSRF koruması daha güçlüdür.
Ne zaman hangisi? Büyük dağıtık sistemlerde JWT tercih edilir; küçük ve orta ölçekli monolitik uygulamalarda session cookie daha güvenli ve yönetilebilir olabilir.
Access + Refresh token pattern: Access token (5-15 dk) kısa ömürlü ve stateless; refresh token (7-30 gün) daha uzun ömürlü ve server'da kayıtlı. Access token süresi dolunca refresh token ile yenisi alınır.
Token blacklist: Logout işleminde JWT'yi geçersiz kılmak için token ID'yi (jti claim) veritabanında blacklist'e eklemek gerekir. Bu işlem stateless özelliği kısmen ortadan kaldırır; ancak güvenlik açısından gereklidir.
Expiry claim (exp): Unix timestamp formatındadır. hesaplatr.net JWT decoder bu timestamp'i okunabilir tarih-saate dönüştürür ve token'ın ne zaman dolduğunu gösterir.
OAuth 2.0: Yetkilendirme çerçevesidir; JWT'yi token formatı olarak kullanabilir. Access token, ID token ve refresh token OAuth flow'larında farklı amaçlarla kullanılır.
OpenID Connect (OIDC): OAuth 2.0 üzerine kurulu kimlik doğrulama katmanıdır. ID token formatı JWT'dir ve kullanıcı bilgilerini (sub, email, name) claim olarak içerir.
JWK (JSON Web Key Set): Public key'leri JSON formatında yayımlayan endpoint. Token imzasını doğrulamak için /.well-known/jwks.json adresinden public key seti alınır. Anahtar rotasyonu güvenlik için düzenli yapılmalıdır.