Trình giải mã và kiểm tra JWT Token

Blog

Trình giải mã và kiểm tra JWT Token

BlogCheatsheets
Loading...
Loading JWT...

Mô tả

Giải mã JSON Web Token để xem header, payload và chữ ký mà không cần khóa bí mật. Tuyệt vời cho gỡ lỗi luồng xác thực.

Giới thiệu về Trình giải mã và kiểm tra JWT Token

JWT Decoder tách một JSON Web Token thành ba phần — header, payload và chữ ký — rồi giải mã các đoạn Base64URL để bạn đọc các claim dưới dạng JSON thuần. Nó chạy hoàn toàn trong trình duyệt và không cần khóa bí mật, vì giải mã một JWT không đòi hỏi phải xác minh nó. Dùng để gỡ lỗi luồng xác thực, kiểm tra thời hạn token và xác nhận service đã phát hành những claim nào.

Cách sử dụng

  1. Dán JWT của bạn (chuỗi dài dạng xxxxx.yyyyy.zzzzz) vào ô đầu vào.
  2. Header (thuật toán và loại token) và payload (các claim) được giải mã và hiển thị dưới dạng JSON đã định dạng.
  3. Kiểm tra các claim chuẩn như exp (hết hạn), iat (thời điểm phát hành), iss (bên phát hành) và sub (chủ thể).
  4. Đoạn chữ ký được hiển thị nhưng không được xác minh — xác minh cần khóa ký.

Câu hỏi thường gặp

Giải mã một JWT có cần khóa bí mật không?

Không. Header và payload chỉ được mã hóa Base64URL, không phải mã hóa bảo mật, nên ai cũng có thể giải mã và đọc chúng. Khóa bí mật chỉ cần để xác minh chữ ký, vốn chứng minh token không bị giả mạo.

Dán một token vào đây có an toàn không?

Việc giải mã diễn ra hoàn toàn trong trình duyệt — không có gì được tải lên. Tuy vậy, hãy coi token truy cập thật là bí mật và tránh dán token production vào bất kỳ công cụ nào bạn không kiểm soát.

Tại sao token của tôi hiển thị là đã hết hạn?

Claim exp là một dấu thời gian Unix. Nếu nó sớm hơn thời điểm hiện tại, token đã hết hạn và phần lớn máy chủ sẽ từ chối nó dù nó vẫn giải mã được ở đây.

Tôi có đọc được một JWE được mã hóa ở đây không?

Không. Công cụ này giải mã JWT đã ký (JWS). Token được mã hóa (JWE) cần khóa giải mã và không thể đọc được chỉ bằng việc giải mã.