Monu Tools

Giải mã JWT

Giải mã JSON Web Token để kiểm tra header và payload của nó, với thời gian hết hạn và thời gian phát hành dễ đọc. Chạy hoàn toàn trong trình duyệt của bạn; token không bao giờ được tải lên.

Cách dùng Giải mã JWT

  1. 01

    Dán một JWT theo dạng header.payload.signature.

  2. 02

    Đọc header và payload đã giải mã dưới dạng JSON được định dạng.

  3. 03

    Kiểm tra thời gian hết hạn và phát hành, và liệu token đã hết hạn chưa.

What a JWT decoder shows you

A JSON Web Token has three parts separated by dots: a Base64URL-encoded header, a Base64URL-encoded payload, and a signature. This decoder splits and decodes the first two parts instantly in your browser, so you can read what a token actually contains.

The most common use is inspecting a token an API returned: who issued it (iss), when it expires (exp), what permissions it carries (scope or roles), and whether it has already expired.

How the decoding works

The tool takes the header and payload segments and decodes their Base64URL contents back into readable JSON. Nothing is sent anywhere: the split and decode happen locally the moment you paste a token.

Reading expiry and timestamps

The expiry is shown in readable local time, not a raw Unix timestamp, so you can see at a glance whether the token is still valid. The same applies to other time claims like iat and nbf, which become dates you can actually interpret.

Decoding is not verifying

This tool decodes and displays, it does not verify the signature against a secret key. Anyone can read a JWT payload without a key, because only the signature is protected, not the contents.

For signature verification you need the signing secret or public key, which should never be entered into a browser-based tool. Do not paste secrets here.

Privacy

The token never leaves your device. All decoding runs in your browser, so nothing you paste is uploaded or stored.

Câu hỏi thường gặp

Nó có xác minh chữ ký không?

Không. Nó giải mã và hiển thị header và payload. Xác minh chữ ký cần secret ký hoặc khóa công khai, thứ mà bạn không nên dán vào bất kỳ công cụ web nào.

Khác biệt giữa giải mã và xác minh là gì?

Giải mã đọc header và payload Base64url, vốn không được mã hóa. Xác minh tính lại chữ ký bằng khóa để chứng minh token là chính thống và chưa bị sửa đổi.

Dán token của tôi vào đây có an toàn không?

Việc giải mã diễn ra hoàn toàn trong trình duyệt của bạn, nên token không được tải lên. Tuy vậy, hãy xem token đang hoạt động là bí mật và tránh dán chúng trên máy tính dùng chung.

exp, iat và nbf nghĩa là gì?

Chúng là các claim tiêu chuẩn: iat là thời điểm phát hành, nbf là thời điểm bắt đầu có hiệu lực, và exp là thời gian hết hạn. Trình giải mã chuyển các dấu thời gian Unix này thành giờ địa phương dễ đọc.

Tôi có thể giải mã một token đã hết hạn không?

Có. Hết hạn không thay đổi cách một token được giải mã, nên bạn có thể kiểm tra các claim của token hết hạn và thấy chính xác khi nào nó hết hiệu lực.

Tại sao payload của tôi đọc được mà không cần khóa?

JWT được ký, không được mã hóa. Payload chỉ được mã hóa Base64url, nên ai cũng đọc được. Đừng bao giờ đặt bí mật trong payload của JWT.

Nguồn

Nhúng công cụ này

Thêm công cụ này vào trang web của riêng bạn. Sao chép đoạn mã bên dưới; nó tự động cập nhật.

<iframe src="https://monu.tools/embed/vi/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Công cụ liên quan