ถอดรหัส JWT

การถอดรหัส JWT ใช้เพื่อดูเนื้อหาของโทเค็น ช่วยให้นักพัฒนาดูแลแก้ไขปัญหาการยืนยันตัวตน วิเคราะห์สิทธิ์ผู้ใช้ ตรวจสอบเวลาหมดอายุ และข้อมูลสำคัญอื่นๆ

JWT ประกอบด้วยสามส่วนคือ Header (ส่วนหัว) Payload (ข้อมูลที่บรรจุ) และ Signature (ลายเซ็น) คั่นด้วยจุด สองส่วนแรกสามารถถอดรหัส Base64 เพื่อดูได้โดยตรง

Header ประกอบด้วยประเภทโทเค็น (typ) และอัลกอริธึมการลงนาม (alg) เช่น '{"typ":"JWT","alg":"HS256"}' บ่งชี้วิธีการตรวจสอบโทเค็น

Payload ประกอบด้วยข้อมูลการประกาศ เช่น ID ผู้ใช้ (sub) เวลาหมดอายุ (exp) เวลาออก (iat) เป็นต้น และข้อมูลที่กำหนดเอง

ฟิลด์ exp แสดงเวลาหมดอายุเป็น timestamp สามารถใช้การถอดรหัสเพื่อตัดสินอย่างรวดเร็วว่าโทเค็นหมดอายุหรือไม่ เพื่อหลีกเลี่ยงการใช้โทเค็นที่ไม่ถูกต้องในการร้องขอ

การถอดรหัสแสดงเฉพาะเนื้อหาของโทเค็น ไม่ตรวจสอบความถูกต้องของลายเซ็น ในสภาพแวดล้อมการผลิตยังต้องตรวจสอบลายเซ็นเพื่อให้แน่ใจว่าโทเค็นไม่ถูกแก้ไข