Handytool
Hướng dẫn dành cho nhà phát triển5 phút đọcCập nhật 24 thg 2, 2026

Tiện Ích Phát Triển Tức Thì

Giải Mã Bất Kỳ JWT Và Kiểm Tra Các Yêu Cầu Của Nó Ngay Lập Tức

Bộ giải mã JWT của Handytool chia bất kỳ JSON Web Token nào thành tiêu đề, tải trọng và yêu cầu của nó — với kiểm tra hết hạn và dấu thời gian có thể đọc được của con người — tất cả trong trình duyệt của bạn, không bao giờ chạm vào máy chủ.

Mở Bộ giải mã JWTTất cả bài viết

Những điểm chính

  • 01Giải mã bất kỳ JWT nào và kiểm tra tiêu đề, tải trọng và yêu cầu tiêu chuẩn trong một lần dán.
  • 02Các yêu cầu exp, nbf và iat được chuyển đổi thành dấu thời gian có thể đọc được của con người với thẻ hợp lệ/hết hạn.
  • 03Giải mã là hoàn toàn cục bộ — an toàn để dán các token sản xuất thực tế trong khi gỡ lỗi.
  • 04Bộ giải mã không xác minh chữ ký — điều đó phải xảy ra phía máy chủ bằng khóa của nhà phát hành.

Tại Sao Bạn Cần Bộ Giải Mã JWT

JSON Web Token trông giống như tiếng ồn ngẫu nhiên cho đến khi bạn biết rằng chúng là ba phân đoạn được mã hóa Base64URL được phân tách bằng dấu chấm. Phân đoạn đầu tiên là tiêu đề (thuật toán và loại token), phân đoạn thứ hai là tải trọng (các yêu cầu: ID người dùng, vai trò, hết hạn) và phần thứ ba là chữ ký. Khi gỡ lỗi vấn đề xác thực, phiên hết hạn hoặc tích hợp OAuth bị hỏng, điều đầu tiên bạn cần làm là đọc tải trọng.

Làm điều đó bằng tay có nghĩa là chia trên các dấu chấm, giải mã Base64URL và sau đó chuyển đổi dấu thời gian Unix thành ngày có thể đọc được. Bộ giải mã JWT của Handytool thực hiện tất cả điều đó tự động và thêm các thẻ hợp lệ vào các yêu cầu thời gian để bạn có thể thấy ngay lập tức liệu token có còn hoạt động hay không.

Cách Giải Mã Token JWT

  1. 01

    Sao chép JWT

    Lấy token từ DevTools của trình duyệt (Ứng dụng > Cookie hoặc bảng Mạng Tiêu đề Ủy quyền), từ tệp nhật ký hoặc từ máy khách API của bạn.

  2. 02

    Dán nó vào bộ giải mã

    Dán token đầy đủ — bao gồm cả ba phân đoạn được phân tách bằng dấu chấm — vào hộp đầu vào. Bộ giải mã xác định các phân đoạn tự động.

  3. 03

    Đọc tiêu đề và tải trọng

    Công cụ chia token và in đẹp tiêu đề (thuật toán, loại) và tải trọng (tất cả các yêu cầu) dưới dạng JSON được định dạng.

  4. 04

    Kiểm tra các yêu cầu thời gian

    Dấu thời gian Unix exp (hết hạn), nbf (không trước) và iat (phát hành lúc) được chuyển đổi thành ngày ISO. Bộ giải mã gắn exp dưới dạng xanh (hợp lệ) hoặc đỏ (hết hạn) so với thời gian cục bộ hiện tại của bạn.

Yêu Cầu JWT Tiêu Chuẩn Được Giải Thích

Những tên yêu cầu đã đăng ký này xuất hiện trong hầu hết JWT.

  • 01iss (Nhà phát hành) — xác định ai đã tạo token, thường là URL hoặc tên dịch vụ.
  • 02sub (Chủ đề) — nguyên tắc mà token đại diện, thường là ID người dùng.
  • 03aud (Khán giả) — các người nhận dự định của token; máy chủ của bạn phải từ chối các token dành cho những người khác.
  • 04exp (Hết hạn) — dấu thời gian Unix sau đó token phải bị từ chối.
  • 05nbf (Không Trước) — dấu thời gian Unix trước đó token phải bị từ chối.
  • 06iat (Phát Hành Lúc) — dấu thời gian Unix khi token được tạo; hữu ích để phát hiện token cũ.

An Toàn Để Dán Token Thực Tế Khi Gỡ Lỗi

Giải mã JWT xảy ra hoàn toàn trong trình duyệt của bạn bằng cách sử dụng hàm atob gốc và JSON.parse. Không có gì được truyền đến bất kỳ máy chủ nào — token của bạn được giải mã trong bộ nhớ và hiển thị cục bộ. Bạn có thể an toàn dán các token truy cập thực tế và token phiên từ các môi trường phát triển hoặc tổ chức để gỡ lỗi luồng xác thực.

Điều đó nói rằng, hãy coi JWT như mật khẩu. Họ cấp quyền truy cập vào hệ thống của bạn trong suốt thời gian tồn tại đầy đủ của họ. Đừng dán các token sản xuất từ các tài khoản có đặc quyền cao vào bất kỳ công cụ nào trừ khi bạn tự tin về đảm bảo quyền riêng tư của công cụ — và luôn xoay token nếu bạn tin rằng nó có thể đã bị tiếp xúc.

Câu Hỏi Thường Gặp Về Bộ Giải Mã JWT

JWT Là Gì?

JSON Web Token là định dạng nhỏ gọn, an toàn cho URL bao gồm ba phân đoạn Base64URL (tiêu đề, tải trọng, chữ ký) được phân tách bằng dấu chấm. JWT mang các yêu cầu — khẳng định về người dùng hoặc phiên — và được sử dụng để xác thực, ủy quyền và truy cập API.

Bộ Giải Mã Này Có Xác Minh Chữ Ký JWT Không?

Không. Bộ giải mã chỉ phân tích cú pháp tiêu đề và tải trọng. Xác minh chữ ký yêu cầu khóa bí mật hoặc khóa công khai của nhà phát hành và phải xảy ra trong mã ứng dụng của bạn bằng thư viện đáng tin cậy.

Liệu Có An Toàn Để Dán Token Truy Cập Thực Tế Ở Đây Không?

Giải mã hoàn toàn cục bộ — token không bao giờ được truyền. Tuy nhiên, JWT cấp quyền truy cập thực tế, vì vậy hãy coi chúng như mật khẩu. Đừng chia sẻ chúng, đừng cam kết chúng để kiểm soát nguồn và xoay chúng nếu chúng có thể đã bị tiếp xúc.

Yêu Cầu Exp Có Nghĩa Là Gì?

exp là dấu thời gian hết hạn — một số nguyên Unix đại diện cho thời điểm token không còn hợp lệ. Bộ giải mã chuyển đổi nó thành ngày ISO có thể đọc được của con người và đánh dấu nó hợp lệ hoặc hết hạn so với thời gian cục bộ hiện tại của bạn.

Tại Sao Tải Trọng JWT Có Thể Nhìn Thấy Mà Không Cần Khóa?

Tải trọng JWT được mã hóa Base64URL, không được mã hóa. Chúng được thiết kế để có thể đọc được — chữ ký chỉ chứng minh tính xác thực, không phải bí mật. Không bao giờ đặt dữ liệu thực sự bí mật trong tải trọng JWT trừ khi bạn sử dụng Mã hóa Web JSON (JWE).

Bộ Giải Mã Có Miễn Phí Không?

Có. Handytool miễn phí không có đăng ký, không có giới hạn tỷ lệ và không có công việc bộ sưu tập dữ liệu.

Công cụ liên quan

Tiếp tục làm việc với công cụ Tiện ích

Công cụ Tiện ích