أداة فك تشفير JWT المجانية عبر الإنترنت — تحليل رموز JSON Web Token بالكامل
مرحبا بك في أداة فك تشفير JWT على موقع Get-Tools، الأداة المجانية الأقوى والأسهل استخداما لتحليل رموز JSON Web Token مباشرة من المتصفح دون الحاجة إلى أي برامج أو إضافات. تُعد هذه الأداة خيارا مثاليا للمطورين ومهندسي الأمان ومديري الأنظمة الذين يتعاملون يوميا مع عمليات المصادقة والتفويض في تطبيقات الويب وواجهات برمجة التطبيقات (APIs). تعمل الأداة بالكامل في متصفحك، مما يعني أن بياناتك لا تغادر جهازك أبدا — وهذا يمنحك طبقة أمان إضافية لا تتوفر في كثير من الأدوات المنافسة.
ما هو JSON Web Token؟
JSON Web Token (يُختصر JWT ويُنطق "جوت") هو معيار مفتوح مُعرَّف في المواصفة RFC ٧٥١٩، صُمِّم خصيصا لنقل المعلومات بين طرفين بشكل آمن وقابل للتحقق. يتكون الرمز من سلسلة نصية مُشفرة بصيغة Base64url مُقسمة إلى ثلاثة أجزاء يفصل بينها نقاط. يُستخدم هذا المعيار على نطاق واسع في أنظمة تسجيل الدخول الأحادي (SSO)، وتطبيقات OAuth ٢٫٠، وأنظمة الخدمات المصغرة (Microservices)، وتطبيقات الهاتف المحمول التي تتصل بخوادم REST API.
بنية رمز JWT — الأجزاء الثلاثة
١. الترويسة (Header)
تحتوي الترويسة على معلومات وصفية عن الرمز نفسه، وأهمها نوع الرمز (عادة "JWT") وخوارزمية التوقيع المُستخدمة مثل HS٢٥٦ أو RS٢٥٦ أو ES٢٥٦. تُشفر الترويسة بصيغة Base64url لتُشكل الجزء الأول من الرمز. اختيار الخوارزمية يؤثر بشكل مباشر على مستوى الأمان وطريقة التحقق من التوقيع.
٢. الحمولة (Payload)
تحتوي الحمولة على البيانات الفعلية التي يُراد نقلها، وتسمى "المطالبات" (Claims). هناك ثلاثة أنواع من المطالبات: مطالبات مسجلة (مثل sub لمعرف المستخدم، وiss لجهة الإصدار، وexp لتاريخ الانتهاء)، ومطالبات عامة (Public Claims)، ومطالبات خاصة (Private Claims) يتفق عليها الطرفان. من أهم المطالبات الزمنية: iat (وقت الإصدار)، وexp (وقت الانتهاء)، وnbf (لا يُستخدم قبل وقت معين).
٣. التوقيع (Signature)
التوقيع هو الجزء الذي يضمن سلامة الرمز وعدم التلاعب به. يُنشأ بتطبيق الخوارزمية المُحددة في الترويسة على الترويسة والحمولة المُشفرتين مع مفتاح سري. خوارزميات HMAC (HS٢٥٦/٣٨٤/٥١٢) تستخدم مفتاحا واحدا مشتركا، بينما خوارزميات RSA وECDSA تستخدم زوجا من المفاتيح (عام وخاص) مما يوفر أمانا أعلى.
كيف تعمل أداة فك تشفير JWT على Get-Tools؟
بمجرد لصق رمز JWT في حقل الإدخال، تقوم الأداة تلقائيا بتقسيم الرمز إلى أجزائه الثلاثة وتلوين كل جزء بلون مميز: البرتقالي للترويسة، والأخضر للحمولة، والبنفسجي للتوقيع. ثم تفك تشفير Base64url وتعرض محتوى JSON بتنسيق واضح وقابل للقراءة. الأداة تتعرف تلقائيا على المطالبات الزمنية وتحسب الفرق بين الوقت الحالي ووقت الانتهاء، وتعرض حالة الصلاحية بشارة ملونة.
المميزات الرئيسية
- تلوين ذكي: كل جزء من أجزاء JWT يظهر بلون مختلف لسهولة التمييز
- فك ترميز فوري: النتائج تظهر لحظيا أثناء الكتابة دون الحاجة للضغط على أي زر
- تحليل زمني: عرض أوقات الإصدار والانتهاء مع حساب المدة المتبقية أو المنقضية
- التحقق من التوقيع: دعم خوارزميات HMAC وRSA وECDSA مع إمكانية إدخال المفتاح السري أو تحميل ملف المفتاح العام
- نسخ سهل: أزرار نسخ مخصصة للترويسة والحمولة
- رمز تجريبي: زر لتحميل رمز JWT نموذجي مع مفتاحه السري لتجربة الأداة
- خصوصية تامة: جميع العمليات تتم في المتصفح — لا يتم إرسال أي بيانات إلى الخادم
الخوارزميات المدعومة
تدعم الأداة مجموعة واسعة من خوارزميات التوقيع الشائعة في عالم JWT:
- HMAC: HS٢٥٦ وHS٣٨٤ وHS٥١٢ — تستخدم مفتاحا سريا واحدا مشتركا بين الطرفين
- RSA PKCS#١: RS٢٥٦ وRS٣٨٤ وRS٥١٢ — تستخدم زوج مفاتيح RSA (عام/خاص)
- RSA-PSS: PS٢٥٦ وPS٣٨٤ وPS٥١٢ — نسخة محسنة من RSA مع حشو احتمالي
- ECDSA: ES٢٥٦ وES٣٨٤ وES٥١٢ — تستخدم منحنيات إهليلجية وتوفر مفاتيح أصغر حجما
حالات الاستخدام العملية
يحتاج المطورون يوميا لفحص رموز JWT أثناء تصحيح أخطاء عمليات المصادقة، والتحقق من صلاحية الرموز قبل إرسالها، وفهم المطالبات الموجودة في الرمز. تفيد الأداة أيضا في بيئات الإنتاج عند تحليل مشاكل تسجيل الدخول، وفي التعليم لشرح بنية JWT للمتعلمين الجدد.
ملاحظات أمنية مهمة
رمز JWT مُشفر بصيغة Base64 وليس مُعمَّى — أي شخص يملك الرمز يستطيع قراءة محتواه. لذلك لا تضع أبدا معلومات حساسة كلمات المرور أو أرقام بطاقات الائتمان في حمولة JWT. استخدم دائما اتصال HTTPS لنقل الرموز، وحدد وقت انتهاء قصير للرموز الحساسة، واستخدم خوارزميات توقيع قوية مثل RS٢٥٦ أو ES٢٥٦ في بيئات الإنتاج.