2026 Güncel VerilerResmi Mevzuata UygunÜcretsiz Hesaplama
🔏
Yazılım

JWT Encoder

HS256 / HS384 / HS512 ile imzalı JWT token oluşturun. Tüm işlem tarayıcıda gerçekleşir, sunucuya veri gönderilmez.

⚠️ Secret'ı üretim ortamından kopyalamayın. Bu araç test ve geliştirme amaçlıdır.

JSON değerler otomatik parse edilir (örn. true, 42). iat ve exp otomatik eklenir.

Hesaplama Formülü

JWT = Base64URL(Header) . Base64URL(Payload) . HMAC-SHA256(Header.Payload, Secret)

HMAC imzalı JWT'de header ve payload Base64URL kodlanır, nokta ile birleştirilir. Bu birleşim secret ile HMAC hesaplanır; sonuç üçüncü parça olan signature'dır. Tüm işlem tarayıcıda gerçekleşir.

Örnek: HS256 ile 1 saatlik token: header {alg:HS256,typ:JWT} + payload {sub:123,exp:+3600} → 3 parçalı imzalı JWT string.
Secret'ı asla client'a göndermeyın: HS256 secret'ı ele geçiren herkes istediği payload ile geçerli token üretebilir. Secret yalnızca sunucu tarafında tutulmalı; frontend koduna, git deposuna veya log dosyasına kesinlikle girmemeli.
Kısa ömürlü access token + refresh token pattern kullanın: 15–60 dakikalık access token, ele geçirilirse hasarı sınırlar. Uzun oturumlar için refresh token ile yenileme mekanizması güvenli standart yaklaşımdır.

JWT Oluşturma: Header, Payload ve İmzalama

JWT (JSON Web Token) oluşturma süreci üç adımdan oluşur: (1) Header oluştur — `{alg: 'HS256', typ: 'JWT'}` (2) Payload oluştur — claim'leri içeren JSON nesnesi (3) İmzala — Header.Payload string'ini seçilen algoritma ve secret key ile imzala.

Encoding: Her bölüm Base64URL kodlamasıyla encode edilir (standart Base64'ten farklı: + yerine -, / yerine _ kullanılır ve padding = karakteri yoktur). Son token: base64url(header) + '.' + base64url(payload) + '.' + imza.

hesaplatr.net JWT encoder: Payload JSON'unuzu ve secret key'inizi girerek anında geçerli JWT token üretir. Algoritma seçimi (HS256, RS256 vb.) de desteklenmektedir.

Algoritma Seçimi: HS256 vs RS256 vs ES256

HS256 (HMAC-SHA256): Paylaşılan secret key kullanır. Hem imzalama hem doğrulama aynı key ile yapılır. Tek bir servis veya güvenilir ortamlar için uygundur; secret key'in sızması tüm token'ları tehlikeye atar.

RS256 (RSA-SHA256): Private key ile imzalanır, public key ile doğrulanır. Public key dağıtılabilir; private key gizli kalır. Çok servisli mimarilerde idealdir. Anahtar rotasyonu daha güvenlidir.

ES256 (ECDSA-SHA256): RSA'ya benzer asimetrik yapı; ancak daha küçük anahtar boyutuyla benzer güvenlik sağlar. Modern sistemlerde RS256'ya alternatif olarak giderek yaygınlaşmaktadır.

Claim Yönetimi: Neler Eklenmeli?

Standart claim'ler: `sub` (kullanıcı ID), `iss` (token yayımcısı), `aud` (hedef servis), `exp` (son kullanma — Unix timestamp), `iat` (yayım zamanı), `jti` (benzersiz ID — blacklist için). Bu claim'lerin doğru doldurulması güvenlik ve birlikte çalışabilirlik açısından kritik.

Custom claim'ler: `email`, `role`, `permissions` gibi uygulama özelinde claim'ler eklenebilir. Büyük payload'lar her istekte taşındığından gereksiz veri eklemeyin; yalnızca karar almak için gerekli minimum bilgiyi dahil edin.

Hassas veri: Parola, kredi kartı numarası, gizli anahtar gibi hassas veriler payload'a eklenmemelidir. JWE (JSON Web Encryption) gerçek şifreleme sunar; standart JWT yalnızca imzalar, şifrelemez.

Token Süresi ve Güvenlik Ayarları

exp claim hesabı: `Math.floor(Date.now() / 1000) + 3600` ifadesi şu andan 1 saat sonrasının Unix timestamp'ini verir. hesaplatr.net JWT encoder exp alanını otomatik hesaplayabilir veya manuel giriş destekler.

Uygun token süresi: Access token 5-15 dakika, refresh token 7-30 gün önerilir. Çok kısa token süresi kullanıcı deneyimini bozarken çok uzun süre güvenlik riski oluşturur. Uygulama hassasiyetine göre ayarlanmalıdır.

Secret key güvenliği: HS256 için secret key en az 256-bit (32 karakter) olmalı ve üretim ortamında güvenli vault'ta saklanmalıdır. Environment variable olarak kod deposuna gömülmesi kritik güvenlik ihlalidir.

JWT Test ve Hata Ayıklama

jwt.io: JWT'leri encode/decode etmek için yaygın kullanılan bir online araçtır. hesaplatr.net JWT decoder ve encoder birlikte test ortamı oluşturur.

Otomatik test: API testlerinde JWT oluşturmak için jest, pytest veya Postman'daki pre-request script'ler kullanılabilir. CI/CD pipeline'larına JWT entegrasyon testleri eklemek güvenlik açıklarını erken tespit eder.

Yaygın hatalar: exp'yi saniye yerine milisaniye olarak girmek (1000 kat büyük), aud claim'ini doğrulamamak, algorithm none saldırısına karşı kontrol koymamak, aynı secret'ı test ve üretimde kullanmak.

Bu Araçla Birlikte Kullanın

🔐JWT Decoder

JWT Decoder online aracı. Token'ı yapıştırın, header algoritması ile payload claim'lerini (exp, iat, sub) anında çözün. Sunucuya veri gönderilmez.

Hesapla →
📋JSON Formatter

JSON'u prettify edin, minify edin veya doğrulayın. Sözdizimi hatalarını anında tespit edin. Tüm işlemler tarayıcıda, sunucuya veri gönderilmez.

Hesapla →
🔢Base64 Encoder/Decoder

Metni Base64'e dönüştürün veya Base64'ten çözün. URL-safe (RFC 4648) ve standart mod. UTF-8 tam desteği. Sunucuya veri gönderilmez.

Hesapla →
🤖AI Token Maliyet

GPT-4o, Claude 3.5 Sonnet, Gemini ve diğer AI modelleri için token başına maliyet, aylık ve yıllık TL maliyetinizi hesaplayın.

Hesapla →
⏱️Unix Timestamp Dönüştürücü

Unix timestamp ile tarih/saat arasında anlık dönüşüm. Saniye ve milisaniye desteği. Göreceli zaman otomatik hesaplanır. Tarayıcıda çalışır.

Hesapla →
🔍Regex Tester

JavaScript düzenli ifadelerini canlı test edin. Eşleşmeler anında işaretlenir, yakalama grupları listelenir. g/i/m/s bayrak desteği.

Hesapla →