Bộ giải mã JWT
Giải mã JSON Web Tokens (JWT) ngay lập tức. Chạy trong trình duyệt của bạn: các token không bao giờ rời khỏi thiết bị, nên an toàn để dùng với các bí mật của môi trường production.
Cách sử dụng công cụ này
- 1
Dán JWT của bạn vào ô nhập.
- 2
Nhấp Decode. Header và payload được phân tích và hiển thị.
- 3
Kiểm tra thuật toán, các claim, thời hạn và bên phát hành.
JWT là gì và hoạt động như thế nào?
Một JSON Web Token (JWT, được định nghĩa trong RFC 7519) là một cách biểu diễn nhỏ gọn và an toàn cho URL của một tập hợp các claim về một người dùng, kèm theo bằng chứng mật mã rằng các claim đó không bị giả mạo. JWT là nền tảng xác thực trong hầu hết các ngăn xếp web hiện đại: khi bạn đăng nhập, máy chủ tạo một JWT chứa ID người dùng và quyền hạn của bạn, ký nó bằng một khóa bí mật và trả nó về cho bạn. Trình duyệt của bạn lưu trữ token (thường trong localStorage hoặc trong một cookie) và đính kèm nó vào header Authorization của mọi yêu cầu tiếp theo. Máy chủ xác minh chữ ký trên mỗi yêu cầu: nếu hợp lệ, các claim của token được tin cậy; nếu nó bị giả mạo, chữ ký sẽ bị phá vỡ và yêu cầu bị từ chối. JWT có ba phần được mã hóa bằng Base64URL và phân tách bằng dấu chấm: phần header khai báo thuật toán ký (HS256 cho HMAC-SHA256, RS256 cho RSA, ES256 cho ECDSA, none cho các token chưa ký, điều này nguy hiểm và bạn nên từ chối chúng); phần payload chứa các claim thực tế (các claim chuẩn như 'sub' cho chủ thể, 'exp' cho thời hạn, 'iat' cho thời điểm phát hành, cùng với bất kỳ claim tùy chỉnh nào mà ứng dụng của bạn định nghĩa); chữ ký là bằng chứng rằng header và payload đã được ký bởi một người nắm giữ bí mật. Bộ giải mã này tiết lộ hai phần đầu tiên, vốn là thông tin công khai; chữ ký chỉ có thể được xác minh bằng khóa, đó là lý do mọi bộ giải mã JWT đều hiển thị các claim mà không xác minh.
Các trường hợp sử dụng phổ biến
Gỡ lỗi vấn đề xác thực bằng cách giải mã JWT mà client của bạn đang gửi — thấy chính xác những claim nào hiện diện, ai phát hành và khi nào hết hạn.
Kiểm tra JWT của API gateway (AWS Cognito, Auth0, Okta) để hiểu cấu trúc claim cho các dịch vụ phía sau.
Xác minh rằng các claim tùy chỉnh (ID tổ chức, vai trò, feature flag) được thiết lập đúng trong mã phát hành token.
So sánh token trước và sau khi làm mới để xác nhận thời hạn đã được gia hạn.
Kiểm toán thuật toán của token — xác nhận RS256 hoặc ES256 được dùng ở môi trường sản xuất, không bao giờ là 'none'.
Chuyển payload base64url từ nhật ký máy chủ thành các claim mà con người đọc được.
Câu hỏi thường gặp
Dùng nó với các JWT của môi trường production có an toàn không?▼
Công cụ này có xác minh chữ ký không?▼
Điều gì xảy ra nếu JWT của tôi đã hết hạn?▼
JWT có thể được mã hóa không?▼
'alg': 'none' nghĩa là gì và có nguy hiểm không?▼
Tại sao nên dùng JWT thay vì cookie phiên?▼
Các claim chuẩn của một JWT là gì?▼
Công cụ liên quan
Trình định dạng và kiểm tra JSON
Định dạng, kiểm tra và thu gọn JSON trực tuyến. Hoạt động hoàn toàn trong trình duyệt của bạn: dữ liệu của bạn không bao giờ rời khỏi thiết bị.
Trình định dạng XML
Định dạng và làm đẹp các tài liệu XML. Hữu ích cho SOAP, sitemap, feed RSS và tệp cấu hình.
Bộ mã hóa và giải mã Base64
Mã hóa các chuỗi sang Base64 hoặc giải mã Base64 thành văn bản. Tôn trọng quyền riêng tư của bạn: chạy ngay trong trình duyệt.
Bộ mã hóa và giải mã URL
Chuyển đổi văn bản sang dạng mã hóa an toàn cho URL (mã hóa theo phần trăm) và ngược lại. Hữu ích cho chuỗi truy vấn, chuyển hướng và luồng OAuth.
Bộ mã hóa và giải mã thực thể HTML
Chuyển đổi các ký tự đặc biệt thành thực thể HTML (&, <, v.v.) và ngược lại. Hữu ích để nhúng văn bản vào HTML một cách an toàn.
Trình nén CSS
Loại bỏ các chú thích, khoảng trắng và ký tự không cần thiết khỏi CSS để giảm kích thước tệp.