2026 Güncel VerilerResmi Mevzuata UygunÜcretsiz Hesaplama
🔐
Araç

JWT Decoder

JWT token'ınızı yapıştırın, header ve payload'ı anında çözün. Süre, claim ve algoritma analizi — tamamen tarayıcıda, sunucuya veri gönderilmez.

Hesaplama Formülü

JWT = Base64URL(Header) . Base64URL(Payload) . Base64URL(Signature)

JSON Web Token üç parçadan oluşur. Header algoritma ve token tipini, Payload claim'leri (exp, iat, sub vb.), Signature ise imzayı içerir. Signature sunucu tarafında doğrulanır; bu araç yalnızca header ve payload'ı decode eder.

JWT'yi asla client'ta güvenlik için kullanmayın: JWT payload'ı yalnızca base64 kodludur, şifreli değildir. Hassas veriler (şifre, kredi kartı) payload'a koymayın — her kullanıcı bunu kolayca okuyabilir.
exp claim ve süre: exp Unix timestamp (saniye) olarak tutulur. Token süresini kısıtlamak (15 dk – 1 saat) güvenlik açısından kritiktir. Uzun ömürlü access token yerine refresh token pattern kullanın.

JWT Nedir? Yapısı ve Kullanım Alanları

JWT (JSON Web Token), taraflar arasında güvenli bilgi transferi için kullanılan kompakt ve bağımsız bir token formatıdır (RFC 7519). Üç bölümden oluşur: Header (algoritma ve tip), Payload (claim'ler), Signature (doğrulama). Bölümler nokta (.) ile ayrılır ve Base64URL kodludur.

Kullanım alanları: (1) Kimlik doğrulama — kullanıcı giriş yapınca server JWT üretir, sonraki isteklerde taşınır. (2) Yetkilendirme — token içindeki claim'ler erişim haklarını bildirir. (3) Bilgi alışverişi — taraflar arasında imzalı veri transferi.

hesaplatr.net JWT decoder: Header ve payload'ı otomatik decode ederek claim'leri okunabilir JSON olarak gösterir. Token formatı geçerliyse expiry ve issue date bilgileri de ayrıca vurgulanır.

JWT Güvenlik Riskleri

Algorithm confusion: 'alg: none' veya RS256'dan HS256'ya geçiş saldırıları JWT implementasyonlarında yaygın güvenlik açığıdır. Her zaman server tarafında algoritma doğrulaması yapılmalıdır.

Hassas bilgiyi payload'a koymak: JWT imzalıdır ama şifreli değildir; payload base64 decode ile herkes tarafından okunabilir. Parola, kredi kartı numarası gibi hassas veriler JWT payload'a eklenmemeli.

Token ömrü yönetimi: Uzun ömürlü (long-lived) JWT token güvenlik riski taşır. Token ele geçirilirse iptal etmek zordur. Kısa ömürlü access token + refresh token kombinasyonu (PKCE flow) önerilir.

JWT vs Session Cookie Karşılaştırması

JWT avantajları: Stateless — sunucuda session saklamak gerekmez; horizontal scaling kolaylaşır. Microservice mimarilerinde farklı servisler aynı token'ı doğrulayabilir.

Session cookie avantajları: Server tarafında token iptal etmek kolaydır; token büyüklüğü sorun olmaz; httpOnly ve SameSite flagleriyle XSS/CSRF koruması daha güçlüdür.

Ne zaman hangisi? Büyük dağıtık sistemlerde JWT tercih edilir; küçük ve orta ölçekli monolitik uygulamalarda session cookie daha güvenli ve yönetilebilir olabilir.

JWT Token Süresi ve Yenileme

Access + Refresh token pattern: Access token (5-15 dk) kısa ömürlü ve stateless; refresh token (7-30 gün) daha uzun ömürlü ve server'da kayıtlı. Access token süresi dolunca refresh token ile yenisi alınır.

Token blacklist: Logout işleminde JWT'yi geçersiz kılmak için token ID'yi (jti claim) veritabanında blacklist'e eklemek gerekir. Bu işlem stateless özelliği kısmen ortadan kaldırır; ancak güvenlik açısından gereklidir.

Expiry claim (exp): Unix timestamp formatındadır. hesaplatr.net JWT decoder bu timestamp'i okunabilir tarih-saate dönüştürür ve token'ın ne zaman dolduğunu gösterir.

JWT ile OAuth 2.0 ve OIDC Entegrasyonu

OAuth 2.0: Yetkilendirme çerçevesidir; JWT'yi token formatı olarak kullanabilir. Access token, ID token ve refresh token OAuth flow'larında farklı amaçlarla kullanılır.

OpenID Connect (OIDC): OAuth 2.0 üzerine kurulu kimlik doğrulama katmanıdır. ID token formatı JWT'dir ve kullanıcı bilgilerini (sub, email, name) claim olarak içerir.

JWK (JSON Web Key Set): Public key'leri JSON formatında yayımlayan endpoint. Token imzasını doğrulamak için /.well-known/jwks.json adresinden public key seti alınır. Anahtar rotasyonu güvenlik için düzenli yapılmalıdır.

Bu Araçla Birlikte Kullanın

🔏JWT Encoder

Tarayıcıda JWT token oluşturun. HS256, HS384, HS512 desteği. Secret, payload ve exp ayarı. Sunucuya veri gönderilmez.

Hesapla →
🤖AI Token Maliyet

GPT-4o, Claude 3.5 Sonnet, Gemini ve diğer AI modelleri için token başına maliyet, aylık ve yıllık TL maliyetinizi hesaplayın.

Hesapla →
💻Freelance Vergi

Freelance ve serbest meslek gelirleri için 2026 gelir vergisi, stopaj ve SGK yükümlülüklerinizi hesaplayın.

Hesapla →
🏪Şahıs Şirketi Vergi

2026 şahıs şirketi vergi hesaplama. Gerçek ve basit usulde yıllık gelir vergisi, Bağkur primi ve net kazanç dökümünü anında hesaplayın.

Hesapla →
📊Kar Marjı

Satış fiyatı ve maliyetten kar marjı veya hedef marjdan ideal satış fiyatını 3 farklı modda hesaplayın.

Hesapla →
🧾KDV Hesaplama

KDV dahil fiyattan hariç, ya da hariçten dahil fiyatı anında hesaplayın. %1, %10 ve %20 KDV oranları.

Hesapla →