JWT-dekodering bruges til at se tokenindhold, hjælpe udviklere med at fejlfinde godkendelsesproblemer, analysere brugerrettigheder, kontrollere udløbstider og andre nøgleoplysninger.
Tredelt struktur af JWT
JWT består af tre dele: Header (hoved), Payload (last) og Signature (signatur), adskilt af punktummer. De første to dele kan direkte dekodes med Base64.
Fortolkning af hovedinformation
Header indeholder tokentypen (typ) og signaturalgoritmen (alg), f.eks. '{"typ":"JWT","alg":"HS256"}', hvilket angiver, hvordan tokenet skal verificeres.
Analyse af payload-data
Payload indeholder erklæringsinformation som bruger-ID (sub), udløbstid (exp), udstedelsestid (iat) og andre standarderklæringer samt brugerdefinerede data.
Kontrol af udløbstid
exp-feltet repræsenterer udløbstidspunktet, som kan bruges til hurtigt at afgøre, om tokenet er udløbet, og undgå at bruge ugyldige tokens til anmodninger.
Sikkerhedshensyn ved dekodering
Dekodering viser kun tokenindholdet og validerer ikke signaturens gyldighed. I produktionsmiljøer skal signaturen også verificeres for at sikre, at tokenet ikke er blevet ændret.