jdk8+
使用javafx编写的一个解码jwt的图形化工具
工具只有decode功能,没有encode功能
此工具的主要目的是为了解决jwt.io没法解码由jjwt进行压缩的jwt token
理论上此工具能解码所有的jwt token
HS512
RS256
案例来源于killer师傅
在渗透测试中,往往需要测试jwt body中的数据,需要重新encode,如果后端是用了jjwt的话其实是会自动判断有没有压缩的,没有压缩也会decode成功,所以我们把内容抠出来放到jwt.io重新encode即可,当然要知道secret key。
步骤如下:
将工具解出来Payload数据丢jwt.io的Payload处,至于header需要将{"alg":"HS512","zip":"DEF"} 中的zip部分替换为"typ":"JWT",也就是{"alg":"HS256","typ":"JWT"},之后填入key进行encode
最后将得到的jwt token发到服务端进行测试即可。
注意:目标为什么用jjwt压缩body,就是因为不压缩太大了不好传输,如tomcat的header限制为8024个字节,我们不压缩情况下重新发送的话,可能会超字节,对于这个问题需要用jjwt撸代码解决,后续可能会更新工具的encode功能解决