Pemeriksa Tamat Tempoh JWT
Semak tamat tempoh token JWT dan nyahkod payload JWT
Status Token
Header
Payload
Tandatangan
Note: This tool only decodes JWT tokens. Signature verification requires the secret key and should be done on the server side.
Semua penyahkodan dan semakan JWT dilakukan secara setempat dalam pelayar anda. Token anda tidak pernah meninggalkan peranti anda.
Tentang Pemeriksa Tamat Tempoh JWT
Alat pemeriksa tamat tempoh JWT (JSON Web Token) dalam talian percuma ini membantu anda mengesahkan dengan cepat sama ada token JWT telah tamat tempoh, menyahkod kandungannya dan menyemak strukturnya. Sesuai untuk pembangun yang bekerja dengan sistem pengesahan, API dan aplikasi selamat berasaskan token.
Semua pemprosesan JWT dilakukan secara setempat dalam pelayar anda - token anda tidak pernah meninggalkan peranti anda, memastikan keselamatan penuh untuk data pengesahan yang sensitif.
Alat ini menyahkod header dan payload JWT, memaparkan maklumat tamat tempoh dan menunjukkan baki masa sebelum tamat tempoh atau berapa lama token itu telah tamat tempoh.
Cara Menggunakan
- Tampal token JWT anda dalam ruang input (token biasanya bermula dengan "eyJ...")
- Klik "Semak Tamat Tempoh" untuk mengesahkan sama ada token telah tamat tempoh dan melihat butiran berkaitan
- Klik "Nyahkod JWT" untuk melihat header dan payload yang telah dinyahkod
- Semak keputusan:
- Status Token: Menunjukkan sama ada token sah, tamat tempoh atau belum sah
- Masa Tamat Tempoh: Bila token tamat tempoh (jika tuntutan "exp" wujud)
- Baki Masa: Berapa lama lagi sebelum tamat tempoh atau berapa lama ia telah tamat tempoh
- Data Dinyahkod: Lihat header (algoritma, jenis) dan payload (claims)
- Salin data yang dinyahkod menggunakan butang salin untuk header atau payload
Istilah & Konsep Utama
JWT (JSON Web Token)
Format token padat yang selamat untuk URL dan digunakan untuk menghantar maklumat antara pihak secara selamat. JWT lazim digunakan untuk pengesahan dan kebenaran dalam aplikasi web moden.
Struktur JWT
JWT terdiri daripada tiga bahagian yang dipisahkan oleh titik (.): Header.Payload.Signature. Setiap bahagian dikodkan dalam Base64URL.
Header
Mengandungi metadata tentang token, biasanya algoritma tandatangan (alg) dan jenis token (typ).
Payload
Mengandungi claims - pernyataan tentang pengguna dan data tambahan. Claims biasa termasuk exp (tamat tempoh), iat (dikeluarkan pada), sub (subjek) dan custom claims.
Signature
Dicipta dengan mengekodkan header dan payload, kemudian menandatanganinya menggunakan secret key. Alat ini hanya menyahkod tetapi tidak mengesahkan tandatangan.
exp Claim
Tuntutan masa tamat tempoh (exp) ialah cap masa Unix yang menunjukkan bila token tamat tempoh. Selepas masa ini, token tidak sepatutnya diterima.
iat Claim
Tuntutan dikeluarkan pada (iat) ialah cap masa Unix yang menunjukkan bila token dicipta.
nbf Claim
Tuntutan not before (nbf) ialah cap masa Unix yang menunjukkan bila token mula sah. Token tidak sepatutnya diterima sebelum masa ini.
Kegunaan Lazim
- Pembangunan API: Sahkan token JWT semasa pembangunan dan ujian sistem pengesahan
- Penyahpepijatan Pengesahan: Semak mengapa token mungkin ditolak (tamat tempoh, belum sah, format rosak)
- Pemeriksaan Token: Lihat claims dan masa tamat tempoh dengan cepat tanpa menulis kod
- Ujian Keselamatan: Analisis token JWT semasa audit keselamatan atau ujian penembusan
- Ujian Pembangunan: Sahkan logik tamat tempoh token dalam aplikasi anda
- Pengurusan Kitar Hayat Token: Pantau bila token akan tamat tempoh untuk logik refresh
- Pembelajaran & Pendidikan: Fahami struktur JWT dan cara token berfungsi
Contoh
Contoh 1: Token Sah
Token JWT dengan tamat tempoh pada masa hadapan:
- Status: Token Sah ✓
- Baki Masa: 2 jam 45 minit
- Header: {"alg":"HS256","typ":"JWT"}
- Payload: {"sub":"1234567890","name":"John Doe","exp":1735891200}
Contoh 2: Token Tamat Tempoh
Token JWT yang sudah tamat tempoh:
- Status: Token Tamat Tempoh ✗
- Tamat Tempoh: 3 hari 5 jam yang lalu
- Masa Tamat Tempoh: 2024-12-25 10:30:00 UTC
Contoh 3: Token Tanpa Tamat Tempoh
Token JWT yang tidak mempunyai exp claim:
- Status: Tiada Tamat Tempoh Ditetapkan
- Nota: Token tidak tamat secara automatik
- Amaran: Pertimbangkan untuk menambah tamat tempoh demi keselamatan
Nota Penting
⚠️ Pengesahan Tandatangan: Alat ini hanya menyahkod token JWT. Ia tidak mengesahkan tandatangan. Sentiasa sahkan tandatangan JWT pada pelayan anda sebelum mempercayai kandungan token.
🔒 Keselamatan: Semua penyahkodan berlaku dalam pelayar anda. Token JWT anda tidak pernah meninggalkan peranti anda. Namun begitu, berhati-hati apabila berkongsi kandungan token yang telah dinyahkod kerana ia mungkin mengandungi maklumat sensitif.
📅 Semakan Tamat Tempoh: Semakan tamat tempoh adalah berdasarkan tuntutan "exp" dalam token. Jika token anda tidak mempunyai tuntutan "exp", tamat tempoh tidak dapat ditentukan.
�� Penyelarasan Masa: Masa tamat tempoh disemak berdasarkan jam peranti anda. Pastikan masa sistem anda tepat untuk mendapatkan keputusan yang betul.
🔐 Pengendalian Token: Jangan sekali-kali berkongsi token JWT anda secara umum atau menampalnya ke dalam alat yang tidak dipercayai. Alat ini selamat (hanya di sisi klien), tetapi tetap berhati-hati dengan token pengeluaran.
✅ Amalan Terbaik: Sentiasa tetapkan masa tamat tempoh pada JWT demi keselamatan. Token jangka pendek (minit hingga jam) lebih selamat berbanding token jangka panjang.
Soalan Lazim
Apakah itu token JWT?
JWT (JSON Web Token) ialah format token padat yang selamat untuk URL dan digunakan untuk menghantar maklumat antara pihak secara selamat. JWT lazim digunakan untuk pengesahan dan kebenaran dalam aplikasi web moden. JWT terdiri daripada tiga bahagian: header, payload dan signature yang dipisahkan oleh titik.
Adakah token JWT saya dihantar ke pelayan?
Tidak, semua penyahkodan JWT dan semakan tamat tempoh berlaku sepenuhnya dalam pelayar anda. Token anda tidak pernah meninggalkan peranti anda, menjadikan alat ini selamat sepenuhnya untuk token pengesahan pengeluaran dan token sensitif.
Adakah alat ini mengesahkan tandatangan JWT?
Tidak, alat ini hanya menyahkod token JWT untuk membaca kandungannya dan menyemak tamat tempoh. Ia tidak mengesahkan tandatangan kriptografi. Sentiasa sahkan tandatangan JWT pada pelayan anda sebelum mempercayai kandungan token dalam aplikasi pengeluaran.
Apakah maksud "Token Tamat Tempoh"?
Token Tamat Tempoh bermaksud tuntutan "exp" (expiration) dalam JWT telah melepasi masa semasa. Token yang telah tamat tempoh tidak sepatutnya diterima oleh pelayan dan biasanya memerlukan pengguna log masuk semula atau refresh token.
Bagaimana jika JWT saya tiada tamat tempoh?
Jika JWT tidak mengandungi tuntutan "exp", secara teknikalnya ia tidak akan tamat tempoh secara automatik. Namun begitu, ini biasanya tidak disyorkan atas sebab keselamatan. Kebanyakan sistem pengesahan sepatutnya menetapkan masa tamat tempoh pada JWT.
Bagaimana saya membaca data JWT yang telah dinyahkod?
Selepas dinyahkod, alat ini memaparkan header (mengandungi algoritma dan jenis token) serta payload (mengandungi claims seperti ID pengguna, tamat tempoh, masa dikeluarkan dan data tersuai). Semua data dipaparkan dalam format JSON supaya mudah dibaca.
Mengapa token yang sah dipaparkan sebagai tamat tempoh?
Semak masa sistem peranti anda. Semakan tamat tempoh adalah berdasarkan jam tempatan anda. Jika masa sistem anda tidak tepat, token yang sah mungkin dipaparkan sebagai tamat tempoh atau sebaliknya. Pastikan juga token dikeluarkan dengan masa tamat tempoh yang betul.
Bolehkah saya menyahkod token dari mana-mana aplikasi?
Ya, alat ini boleh menyahkod mana-mana token JWT standard tanpa mengira aplikasi atau framework yang menciptanya. JWT mengikut format piawai (RFC 7519) yang berfungsi merentas semua platform dan bahasa pengaturcaraan.
Apakah tiga bahagian dalam JWT?
JWT mempunyai tiga bahagian Base64URL yang dipisahkan oleh titik: Header (algoritma dan jenis), Payload (claims dan data) dan Signature (tandatangan kriptografi untuk pengesahan). Formatnya ialah: xxxxx.yyyyy.zzzzz
Adakah selamat menggunakan alat ini dengan token pengeluaran?
Ya, kerana semua pemprosesan berlaku secara setempat dalam pelayar anda dan token tidak pernah meninggalkan peranti anda. Namun begitu, sentiasa berhati-hati tentang tempat anda menampal token sensitif. Elakkan berkongsi kandungan token yang telah dinyahkod jika ia mengandungi maklumat sulit.
Apakah perbezaan antara tuntutan exp, iat dan nbf?
exp (expiration time) ialah masa token tamat tempoh. iat (issued at) ialah masa token dicipta. nbf (not before) ialah masa token mula sah. Ketiga-tiganya menggunakan cap masa Unix (saat sejak 1 Januari 1970).
Berapa kerap token JWT patut tamat tempoh?
Untuk keselamatan, access token biasanya patut tamat tempoh dalam 15 minit hingga 1 jam. Refresh token boleh bertahan lebih lama (hari hingga minggu). Masa tamat tempoh yang ideal bergantung pada keperluan keselamatan dan pengalaman pengguna anda.