T

Text Machine

Công cụ văn bản mạnh mẽ, ngay trong trình duyệt của bạn

Trình giải mã JWT

Giải mã bất kỳ JSON Web Token nào để xem phần header, payload và các claim ở dạng dễ đọc — và tùy chọn xác minh chữ ký HMAC (HS256/384/512). Mọi thứ đều ở lại trong trình duyệt của bạn.

Token đã mã hóa

Cách sử dụng Trình giải mã JWT

  1. 1

    Dán token của bạn

    Dán một JSON Web Token đã mã hóa vào ô nhập. Trình giải mã sẽ tự động tách nó thành header, payload và chữ ký.

  2. 2

    Đọc các claim

    Xem phần header và payload đã giải mã ở dạng JSON được định dạng, và xem lại các claim đã đăng ký như thời điểm hết hạn và thời điểm phát hành được hiển thị dưới dạng ngày giờ dễ đọc.

  3. 3

    Xác minh chữ ký

    Với các token HMAC, nhập khóa bí mật ký để xác nhận chữ ký hợp lệ và token chưa bị giả mạo.

  4. 4

    Sao chép thứ bạn cần

    Sao chép JSON header hoặc payload đã định dạng vào khay nhớ tạm để dùng khi kiểm thử, viết tài liệu hoặc gỡ lỗi.

Câu hỏi thường gặp

JSON Web Token (JWT) là gì?
JSON Web Token là một cách biểu diễn các claim giữa hai bên một cách gọn gàng và an toàn cho URL. Nó gồm ba phần được mã hóa Base64URL — header, payload và chữ ký — ngăn cách bằng dấu chấm, và được dùng rộng rãi để xác thực và phân quyền trong các web API.
Việc giải mã JWT có để lộ mật khẩu hay khóa bí mật không?
Không. Phần header và payload chỉ được mã hóa Base64URL chứ không được mật mã hóa, nên ai cũng có thể đọc được — đó là lý do bạn không bao giờ nên lưu thông tin nhạy cảm bên trong token. Bản thân khóa bí mật dùng để ký không bao giờ là một phần của token và không thể khôi phục bằng cách giải mã token.
Việc xác minh chữ ký ở đây hoạt động như thế nào?
Với các thuật toán HMAC (HS256, HS384, HS512), công cụ tính lại chữ ký từ header, payload và khóa bí mật bạn cung cấp bằng Web Crypto API tích hợp sẵn của trình duyệt, rồi so sánh với chữ ký trong token. Các thuật toán bất đối xứng như RS256 và ES256 cần khóa công khai nên chỉ được giải mã mà không được xác minh.
Các claim exp và iat có ý nghĩa gì?
exp (thời điểm hết hạn) và iat (thời điểm phát hành) là các claim đã đăng ký được lưu dưới dạng Unix timestamp tính bằng giây. Trình giải mã này chuyển chúng thành ngày giờ dễ đọc và cho biết token hiện đang hoạt động, chưa có hiệu lực hay đã hết hạn dựa trên đồng hồ trên thiết bị của bạn.
Token của tôi có được gửi đến máy chủ không?
Không. Việc giải mã và xác minh chữ ký đều chạy hoàn toàn trong trình duyệt của bạn. Token và khóa bí mật của bạn không bao giờ bị tải lên, ghi lại hay lưu trữ, nên ngay cả token ở môi trường production cũng hoàn toàn riêng tư.

Công cụ liên quan

Tiếp tục với những công cụ hữu ích này

URL Encoder / Decoder

Mã hóa / Giải mã Base64

Bộ Chuyển Đổi HTML sang Văn Bản

Trình định dạng JSON

Trình kiểm tra Regex

Trình tạo Gradient CSS