Üç parçalı, imzalanmış taşıyıcı token
JWT (JSON Web Token, RFC 7519), nokta ile ayrılmış üç Base64URL parçadan oluşur: header.payload.signature. Header imza algoritmasını (alg) ve token tipini (typ) belirtir; payload uygulamaya özgü claim'leri (sub, exp, iat, iss, aud ...) taşır; signature ise header + payload üzerinde HMAC (HS256) veya asimetrik (RS256, ES256) algoritma ile üretilir.
Güvenlik notları: alg: none kabul eden bir doğrulayıcı kritiktir — her zaman beklenen algoritmayı açıkça kontrol edin. Token ömrünü (exp) kısa tutun, refresh token ayrı kullanın, anahtarları periyodik olarak döndürün (key rotation). Daha fazla ayrıntı için REST API güvenlik rehberimizi okuyun.
JWT hakkında
Evet. JWT şifrelenmez, yalnızca imzalanır (JWS). Header ve payload basit Base64URL kodlamadır; herkes okuyabilir. Secret yalnızca imzayı doğrulamak için gerekir. Gizli veri taşımak için JWE (encrypted) kullanın veya hassas veriyi token'a hiç koymayın.
localStorage JavaScript'ten erişilebilir — XSS olursa token çalınabilir. HttpOnly + Secure + SameSite=Lax işaretli cookie JavaScript'ten erişilemez ve CSRF koruması ile kombine edildiğinde daha güvenlidir. Üretimde HttpOnly cookie tercih edilir; SPA dışı entegrasyonlarda Authorization header kullanın.
Bazı eski kütüphaneler header'daki `alg` değerini körü körüne kullanır. Saldırgan `alg: none` değeri ve imzası olmayan bir token göndererek doğrulamayı atlatabilir. Çözüm: doğrulamada beklenen algoritmayı sabitlemek (allow-list), `none` değerini her zaman reddetmek.
JWS (JSON Web Signature) sadece bütünlük ve özgünlük sağlar — içerik okunabilir. JWE (JSON Web Encryption) ise içeriği şifreler, sadece anahtara sahip taraf okuyabilir. Standart "JWT" tipik olarak JWS'dir; hassas veri taşıması gerekiyorsa JWE kullanın.
API güvenlik danışmanlığı
JWT yapılandırması, OAuth2 akışları, rate limiting ve penetration test — KEYDAL ekibi uçtan uca destek verir.
JWT Çözücü aracını ne zaman kullanmalı?
KEYDAL JWT Çözücü aracı; geliştiriciler, sistem yöneticileri, SEO uzmanları ve kurumsal teknoloji ekiplerinin günlük operasyonlarında kullandığı tarayıcı tabanlı bir araçtır. Hiçbir kurulum gerektirmez, ücretsizdir ve sonuçları anında üretir. Türkiye'de yerel ekiplerin sunucu ortamlarına bağlanmadan denetim yapabilmesi, üretim ortamına dokunmadan analiz yürütebilmesi için tasarlanmıştır.
Tipik kullanım senaryoları arasında: site taşıma sonrası doğrulama, yeni domain veya sunucu sağlayıcısı seçerken karşılaştırma, müşteri sorunlarının teşhisi, güvenlik denetimi (penetration test ön çalışması), e-posta deliverability sorunlarının kök sebep analizi, CDN veya proxy yapılandırmasının doğrulanması, SEO ekiplerinin teknik denetim çıktılarını anında okuması ve incident response sürecinde hızlı bilgi toplama yer alır. Aracın çıktılarını metin olarak kopyalayıp paylaşabilir veya dahili dokümantasyonunuza yapıştırabilirsiniz.
KEYDAL altyapı ekibi olarak; web hosting, VPS, dedicated sunucu yönetimi, sunucu sertleştirme, DNS yapılandırması ve SSL/TLS kurulumu hizmetlerimizi Türkiye merkezli olarak veriyoruz. Bu araçların yanı sıra Hetzner, OVHcloud, Contabo, DigitalOcean ve yerli sağlayıcılar üzerinde sunucu kurulum ve operasyon desteği sağlıyoruz.
Sorgularınız sunucumuzda saklanmaz
KEYDAL araçları geçici (stateless) çalışır: gönderdiğiniz domain adları, IP'ler, URL'ler veya başka veriler veritabanında tutulmaz. Loglar yalnızca güvenlik amaçlı (rate limiting, kötüye kullanım tespiti) tutulur ve 30 gün içinde silinir. Hassas veri (token, API anahtarı, JWT) içeren araçlarda işlem tamamen tarayıcınızda yapılır — verileriniz hiçbir zaman ağ üzerinden gönderilmez. Detay için Gizlilik Politikası sayfamızı inceleyebilirsiniz.
Tüm araçlar HTTPS üzerinden çalışır, TLS 1.3 destekler ve KVKK uyumludur. KEYDAL Türkiye'de faaliyet gösteren bir teknoloji şirketi olarak yerel veri koruma mevzuatına tam uyum sağlar.
Belki bunları da arıyorsunuz
KEYDAL ücretsiz araçlar koleksiyonumuz; DNS sorgulama, WHOIS sorgulama, SSL sertifika kontrolü, HTTP header analiz, IP geolocation, site durumu kontrolü, JSON formatlayıcı, JWT çözücü, Base64 encode/decode, QR kod üretici, meta tag analiz ve robots.txt test aracını içerir. Hepsi tarayıcı tabanlıdır, kurulum gerektirmez ve ücretsizdir.
Sunucu fiyat karşılaştırması arıyorsanız web hosting, VPS, VDS, cloud hosting, dedicated server ve storage sayfalarımıza göz atabilirsiniz. Tüm araçları gör →