JWT Decoder
Giải mã header & payload của JSON Web Token. Cảnh báo hạn dùng. Không xác thực chữ ký (offline).
JWT Decoder giải mã token JWT để xem phần header và payload dưới dạng JSON dễ đọc, không cần khoá bí mật. Cực tiện khi debug xác thực (authentication), kiểm tra thời hạn token hết hạn hay xem các claim như quyền hạn người dùng. Token dán vào đây được giải mã ngay trên máy, không gửi đi đâu.
Cách dùng JWT Decoder
- Dán chuỗi JWT (gồm 3 phần ngăn bởi dấu chấm: xxxxx.yyyyy.zzzzz).
- Xem header và payload đã được giải mã và định dạng.
- Kiểm tra các trường như exp (hết hạn), iat (thời điểm phát), sub (chủ thể) để hiểu token.
JWT gồm những phần nào?
Một JWT có ba phần ngăn bởi dấu chấm: Header (thuật toán ký, ví dụ HS256), Payload (các claim như user id, quyền, thời hạn) và Signature (chữ ký xác thực). Hai phần đầu chỉ được mã hoá Base64URL — không phải mã hoá bảo mật — nên ai cũng đọc được nội dung mà không cần khoá.
Vì sao không nên đặt dữ liệu nhạy cảm vào payload?
Vì payload có thể giải mã dễ dàng (như công cụ này đang làm), đừng bao giờ đặt mật khẩu hay thông tin bí mật vào đó. Chữ ký chỉ đảm bảo token không bị sửa, chứ không giấu nội dung. Muốn giữ bí mật nội dung bạn cần mã hoá riêng (JWE) hoặc không đưa vào token.
Câu hỏi thường gặp
Giải mã JWT có cần secret không?
Không. Header và payload chỉ được mã hoá Base64URL nên đọc được mà không cần khoá. Muốn kiểm tra chữ ký có hợp lệ thì dùng công cụ JWT Verify.
Token của tôi có bị lưu lại không?
Không. Toàn bộ xử lý chạy ngay trong trình duyệt của bạn nên dữ liệu không được gửi lên máy chủ nào.
Làm sao biết token đã hết hạn?
Xem trường exp trong payload — đó là mốc thời gian Unix. Nếu thời điểm đó đã qua so với hiện tại thì token đã hết hạn.
Decode và verify JWT khác nhau ra sao?
Decode chỉ đọc nội dung (không cần khoá). Verify kiểm tra chữ ký bằng secret để chắc token do đúng bên phát hành và chưa bị chỉnh sửa.