Giải Mã JWT — Đọc Mọi Token Tức Thì
Công cụ giải mã JWT này cho phép bạn dán bất kỳ JSON Web Token nào và đọc ngay header, payload cùng chữ ký của nó trong trình duyệt. Nó được tạo ra cho các lập trình viên đang gỡ lỗi xác thực, phân quyền API hay luồng đăng nhập một lần (SSO), những người cần thấy chính xác token chứa những gì.
Một JWT có ba phần ngăn cách bằng dấu chấm: Header (loại token và thuật toán ký), Payload (các claim — ID người dùng, email, vai trò, thời hạn và nhiều hơn nữa) và Chữ ký (dùng để xác minh token chưa bị can thiệp). Trình giải mã tách và định dạng cả ba phần ngay khi bạn gõ, kèm chú thích claim và dấu thời gian dễ đọc để bạn không phải tra cứu thủ công.
Cách Giải Mã Một JWT
Dán token của bạn
Thả JWT của bạn vào ô Token đã mã hóa. Token được giải mã tự động ngay khi bạn gõ — không cần nhấn nút nào. Nhấn Mẫu để tải một token thử nghiệm nếu bạn chỉ muốn xem cách nó hoạt động.
Đọc các phần đã giải mã
Header và Payload hiện ra dưới dạng JSON được định dạng kèm tô màu cú pháp, mỗi phần trong một khung phân màu riêng. Chữ ký được hiển thị dưới dạng chuỗi Base64URL gốc.
Kiểm tra trạng thái
Thanh trạng thái cho biết thuật toán ký và loại token, cùng việc token đang Hợp lệ, Đã hết hạn, Chưa hiệu lực hay Không hết hạn, kèm thời gian tương đối như "Hết hạn sau 2 giờ".
Khám phá và sao chép
Rê chuột lên bất kỳ tên claim nào được nhận diện — như iss, sub hay exp — để biết ý nghĩa của nó. Dùng các nút sao chép để lấy riêng header, payload hoặc chữ ký.
Tính Năng
Giải Mã Tức Thì
Token được phân tích ngay khi bạn dán hoặc gõ — kết quả cập nhật trực tiếp, không cần nhấn nút nào.
Khung Phân Màu
Header, Payload và Chữ ký mỗi phần có một khung màu riêng biệt, nên ba phần rất dễ phân biệt chỉ với một cái nhìn.
Tô Màu Cú Pháp JSON
Khóa, chuỗi, số, boolean và null được tô màu trong header và payload đã giải mã để dễ đọc.
Chú Thích Claim Khi Rê Chuột
Các claim chuẩn từ đặc tả JWT, OpenID Connect và OAuth 2.0 — như iss, sub, aud, exp, iat, nbf và jti — hiện một mô tả ngắn khi rê chuột.
Dấu Thời Gian Dễ Đọc
Các dấu thời gian Unix như exp, iat và nbf được chú thích ngay dòng kèm ngày giờ dễ đọc, nên bạn không bao giờ phải tự đổi thủ công.
Trạng Thái Hết Hạn
Một huy hiệu rõ ràng đánh dấu token là Hợp lệ, Đã hết hạn, Chưa hiệu lực hay Không hết hạn, kèm đếm ngược thời gian tương đối.
Hiển Thị Thuật Toán & Loại
Thuật toán ký (HS256, RS256, ES256 và nhiều thuật toán khác) cùng loại token được đọc trực tiếp từ header và hiển thị trên thanh trạng thái.
Sao Chép Một Cú Nhấp
Sao chép header, payload đã giải mã hoặc riêng chữ ký chỉ với một cú nhấp.
Token Mẫu
Tải sẵn một token thử nghiệm để xem trình giải mã hoạt động trước khi dán token của riêng bạn.
Hoàn Toàn Phía Trình Duyệt
Mọi token đều được giải mã cục bộ trong trình duyệt của bạn — không có gì gửi lên máy chủ, lưu lại hay theo dõi.
Câu Hỏi Thường Gặp
Giải mã JWT online ở đây có an toàn không?
Có. Trình giải mã này chạy hoàn toàn trong trình duyệt của bạn — token không bao giờ được gửi lên bất kỳ máy chủ nào, không lưu trữ hay ghi nhật ký. Bạn có thể tự kiểm chứng bằng cách mở tab network của trình duyệt: không có yêu cầu nào được gửi đi khi bạn dán token.
Giải mã JWT có xác minh chữ ký không?
Không. Đây là công cụ giải mã, không phải trình xác minh. Nó đọc và hiển thị nội dung của token nhưng không kiểm tra chữ ký mật mã. Để xác minh chữ ký, bạn cần secret ký (với HMAC) hoặc khóa công khai (với RSA/ECDSA).
Tôi có thể giải mã JWT mà không cần secret key không?
Có. Việc giải mã chỉ đọc header và payload vốn là Base64URL thuần — không cần khóa nào. Secret hoặc khóa công khai chỉ cần khi bạn muốn xác minh token, chứ không phải để đọc nội dung bên trong.
Payload của JWT có được mã hóa hay chỉ là Base64?
Một JWT đã ký theo chuẩn không được mã hóa — header và payload chỉ được mã hóa Base64URL nên ai cũng đọc được. Chữ ký chỉ chứng minh token chưa bị thay đổi. Đừng bao giờ đặt thông tin bí mật vào payload của JWT trừ khi bạn dùng token JWE đã mã hóa.
Một JWT gồm ba phần nào?
Một JWT gồm ba chuỗi Base64URL nối với nhau bằng dấu chấm: Header (loại token và thuật toán ký), Payload (các claim về người dùng và token) và Chữ ký (một mã băm dùng để phát hiện việc can thiệp). Trình giải mã hiển thị mỗi phần trong một khung riêng.
Làm sao đọc claim thời hạn (exp)?
Claim exp là một dấu thời gian Unix. Trình giải mã chú thích nó ngay dòng kèm ngày giờ dễ đọc và hiển thị huy hiệu Đã hết hạn, Hợp lệ hay Chưa hiệu lực với thời gian tương đối, nên bạn biết ngay trạng thái token chỉ với một cái nhìn mà không phải tự đổi con số.
Những thuật toán ký nào được hỗ trợ?
Việc giải mã hoạt động với mọi JWT bất kể thuật toán — HS256/384/512, RS256/384/512, ES256/384/512, PS256 và những thuật toán khác. Thuật toán được đọc từ header và hiển thị trên thanh trạng thái sau khi token được giải mã.
Chưa có bình luận nào. Hãy là người đầu tiên!