JWT'nin üç bölümü nedir?

Bir JWT, noktalarla ( . ) ayrılmış üç bölümden oluşur: 1) Header (Base64URL kodlu JSON) algoritmayı (örn. HS256) belirtir. 2) Payload (Base64URL kodlu JSON) 'talepleri' (örn. kullanıcı ID'si) içerir. 3) İmza (bir hash) token'ın kurcalanmadığını doğrulamak için kullanılır.

JWT Payload (Veri) şifreli midir?

Hayır. Bu kritik bir yanılgıdır. Payload şifreli değildir , yalnızca Base64URL ile kodlanmıştır . Herkes kodunu çözebilir. Bu nedenle, payload'a asla hassas sırlar (şifre gibi) koymamalısınız. Bir JWT gizlilik (sır tutma) değil, kimlik doğrulama (kaynağın kanıtı) sağlar.

HS256 ve RS256 arasındaki fark nedir?

HS256 (HMAC-SHA256) simetriktir . İmzayı oluşturmak ve doğrulamak için aynı gizli anahtar kullanılır. RS256 (RSA-SHA256) asimetriktir . Bir özel anahtar imzayı oluşturur ve (paylaşılabilen) bir açık anahtar onu doğrular. RS256 genellikle halka açık uygulamalar için daha güvenlidir.

JWT Ayıklayıcı & Çözücü

JSON Web Token'ları (JWT) gerçek zamanlı olarak çözün, doğrulayın ve inceleyin.

%100 İstemci Taraflı & Güvenli

Tüm JWT çözme ve doğrulama işlemleri tarayıcınızda gerçekleşir.
Token'larınız, gizli anahtarlarınız veya açık anahtarlarınız asla saklanmaz veya sunucularımıza gönderilmez.
Üretim (production) token'larınızla kullanmak güvenlidir.

JWT (JSON Web Token) Nedir? Detaylı Bakış

Bir JSON Web Token (JWT), taraflar arasında bilgileri ("talepleri") bir JSON nesnesi olarak güvenli bir şekilde iletmek için kullanılan kompakt, URL-güvenli bir standarttır (RFC 7519). Modern web uygulamalarında ve API'lerde durum bilgisi olmayan (stateless) kimlik doğrulama ve yetkilendirmeyi yönetmek için en yaygın yöntemdir.

Bir JWT rastgele bir dize değildir. Noktalarla (.) ayrılmış üç bölümden oluşan Base64URL kodlu bir dizedir:

HEADER.PAYLOAD.SIGNATURE

Header (Base64URL): Token türünü (typ: "JWT") ve kullanılan imzalama algoritmasını (alg: "HS256" veya "RS256") belirten bir JSON nesnesi.
Payload (Base64URL): "Talepleri" (claims) içeren bir JSON nesnesi—genellikle kullanıcı hakkında ifadeler (örn. kullanıcı ID'si sub, ad name) ve ek veriler (örn. oluşturulma/sona erme zamanları iat, exp).
Signature (İmza): Bu güvenlik kısmıdır. İmzayı oluşturmak için, kodlanmış header, kodlanmış payload ve bir gizli anahtar (HS256 için) veya özel anahtar (RS256 için) hash'lenir.

KRİTİK: Payload KODLANMIŞTIR, ŞİFRELİ DEĞİLDİR.
Herkes bir JWT'nin Header ve Payload'ının kodunu çözebilir. Bu ayıklayıcı tam olarak bunu yapar. Payload'a asla hassas bilgiler (şifreler gibi) koymayın. İmzanın tek görevi, Header ve Payload'ın bir saldırgan tarafından kurcalanmadığını doğrulamaktır.

JWT Örnekleri

JWT örnekleri yükleniyor...

JWT En İyi Uygulamaları ve Temel Kavramlar

🚫

Payload Şifreli DEĞİLDİR

En büyük hata, JWT payload'unun gizli olduğunu varsaymaktır. Yalnızca Base64 ile kodlanmıştır ve herkes tarafından okunabilir. Payload'a asla kullanıcı şifreleri, API anahtarları veya diğer hassas sırları saklamayın. JWT'ler gizlilik (sır tutma) değil, kimlik doğrulama (kim olduğunuz) sağlar.

⚖️

HS256 vs. RS256

HS256 (Simetrik): Hem imzalamak hem de doğrulamak için tek bir gizli anahtar kullanır. Hızlı ve basittir. Sunucu ve istemci aynı sırrı paylaşmalıdır.
RS256 (Asimetrik): İmzalamak için bir özel anahtar, doğrulamak için bir açık anahtar kullanır. Daha karmaşıktır, ancak özel anahtar sunucudan hiç ayrılmadığı için daha güvenlidir.

✅

İmzayı Daima Doğrulayın

Bir JWT yalnızca bir metin parçasıdır. Payload içindeki verilere (örn. {"admin": true}) imzayı kriptografik olarak doğrulamadan asla güvenmeyin. İmza geçersizse veya alg "none" (yok) ise, token güvenilmezdir ve derhal reddedilmelidir.