「這個 Token,裡面到底裝了什麼?」
如果您曾經實作過身份驗證,肯定看過以 eyJhb... 開頭的神秘長字串。那就是 JWT (JSON Web Token)。
「使用者 ID 有正確包含在裡面嗎?」、「有效期限 (exp) 過期了嗎?」
當產生這些疑問時,您通常會想快速確認 Token 的內容。但請等一下——您打算在哪裡解碼那個 Token 呢?
沒有什麼資料是「被看到也沒關係」的
JWT 的標頭 (Header) 和載荷 (Payload) 僅僅是使用 Base64Url 進行編碼。它們並沒有被加密,這代表任何人都能輕易讀取其中的內容。
為了確認這些內容,許多開發者會使用線上除錯工具。但如果那個 Token 是屬於正式環境的呢?如果您將敏感的 Token 傳送到不安全或惡意的網站,您的連線階段 (Session) 可能會面臨被劫持的風險。
「我只想除錯,不想冒險」。本站正是為了滿足這個完全合理的願望而建立的。
在瀏覽器中完成的安全除錯
DevToolKits 的 JWT 除錯工具 完全在您的瀏覽器中分析 Token。
我們絕不會將任何資料傳送到伺服器。您可以透過開啟瀏覽器的網路 (Network) 標籤頁來親自確認。即使按下按鈕,工具也會保持「沉默」。這份沉默就是我們能提供的最大安心感。
使用建議
- 貼上您想除錯的 Token。
- 立即查看展開後的「Header」與「Payload」。
- 若需要驗證簽章 (Verification),請貼上密鑰或公鑰以檢查完整性。
結語
JWT 是強大的工具,但一個不慎就可能導致重大的安全性事故。
請務必在安全的環境中確認您的 Token。透過養成良好的習慣,您可以享受建立更穩固、更安全系統的樂趣。