رمزگشایی JWT برای مشاهده محتوای توکن استفاده میشود، به توسعهدهندگان در رفع مشکلات احراز هویت، تحلیل مجوزهای کاربر، بررسی زمان انقضا و سایر اطلاعات کلیدی کمک میکند.
JWT از سه بخش Header (سرآیند)، Payload (بار)، Signature (امضا) تشکیل شده است که با نقطه از هم جدا شدهاند، دو بخش اول را میتوان مستقیماً با Base64 رمزگشایی کرد.
سرآیند شامل نوع توکن (typ) و الگوریتم امضا (alg) است، مانند '{"typ":"JWT","alg":"HS256"}'، که نشان میدهد چگونه توکن را تأیید کنید.
بار شامل اطلاعات اعلامی مانند شناسه کاربر (sub)، زمان انقضا (exp)، زمان صدور (iat) و سایر اعلامیههای استاندارد و دادههای سفارشی است.
فیلد exp نشاندهنده مهر زمانی انقضا است، میتوان با رمزگشایی سریعاً تشخیص داد که توکن منقضی شده است یا خیر، از استفاده از توکنهای نامعتبر برای درخواستها جلوگیری کنید.
رمزگشایی فقط محتوای توکن را نشان میدهد، اعتبار امضا را تأیید نمیکند. در محیطهای تولیدی باید امضا را نیز تأیید کنید تا اطمینان حاصل شود که توکن دستکاری نشده است.