Công cụ giải mã JWT - Giải mã JSON Web Token và kiểm tra hạn sử dụng trực tuyến

Dán bất kỳ JSON Web Token nào để giải mã ngay phần header và payload, xem chữ ký và kiểm tra xem nó đã hết hạn hay chưa. Chạy cục bộ — token của bạn không bao giờ rời khỏi trình duyệt.

JWT đã mã hóa

Decode and verify entirely in your browser — nothing is uploaded.

Tệp được tự động xóa sau khi xử lýXử lý an toàn qua HTTPS

Xong với Giải mã JWT? Hãy thử tiếp các công cụ này

Những công cụ được chọn lọc kết hợp tốt với Trình Giải Mã JWT. Tiếp tục làm việc mà không mất tệp của bạn.

Xem tất cả công cụ

Frequently Asked Questions

Dán JWT đã mã hóa (chuỗi eyJ… dài) vào ô nhập liệu. Công cụ tách nó tại hai dấu chấm, giải mã Base64URL phần header và payload, và hiển thị JSON của mỗi phần cùng đoạn chữ ký thô — tất cả mà không gửi bất kỳ yêu cầu mạng nào.

usage

Không. Trình giải mã chỉ phân tích token — nó không kiểm tra chữ ký với khóa bí mật hay khóa công khai, vì việc xác minh đòi hỏi tài liệu khóa của bên phát hành. Hãy dùng thư viện JWT phía máy chủ để xác minh trong môi trường vận hành; công cụ này dành cho việc kiểm tra và gỡ lỗi.

technical

Bạn nhận được phần header (thuật toán và key id), các claim trong payload (sub, iss, aud, iat, exp và bất kỳ claim tùy chỉnh nào) và chữ ký thô. Các claim dấu thời gian tiêu chuẩn được định dạng thành ngày tháng dễ đọc để bạn nhận ra ngay các token đã hết hạn chỉ trong một cái liếc.

features

Nếu phần payload chứa claim "exp" tiêu chuẩn, công cụ sẽ so sánh nó với thời gian hiện tại và hiển thị "Có hiệu lực đến" hoặc "Token đã hết hạn lúc" kèm dấu thời gian chính xác. Các token không có claim exp được báo là không có thời hạn.

features

Bất kỳ ai đọc được phần payload của một JWT đều có thể sử dụng nó cho đến khi nó hết hạn, vì vậy token sản xuất chỉ nên dùng trong các công cụ riêng tư. Trình giải mã này chạy hoàn toàn trong trình duyệt của bạn và không bao giờ truyền token đi, nhưng quy tắc an toàn hơn là giải mã các token phát triển có thời hạn ngắn bất cứ khi nào có thể.

privacy

Một JWT có ba đoạn được mã hóa Base64URL ngăn cách bởi dấu chấm: header (thuật toán ký), payload (các thông tin mà bên phát hành muốn bên xác minh tin tưởng) và signature (một MAC hoặc chữ ký số trên header.payload). Việc giải mã không bao giờ cần khóa — chỉ việc xác minh mới cần.

technical

Một token nhỏ gọn, an toàn cho URL gồm ba phân đoạn Base64URL — header, payload và chữ ký — mang theo các thông tin đã ký như ID người dùng và thời điểm hết hạn. Nó được dùng rộng rãi cho các phiên đăng nhập không trạng thái và bảo mật yêu cầu API. Dán một token vào ô trên để kiểm tra header và payload của nó.

technical

Bên dưới phần header và payload đã giải mã, hãy dán khóa bí mật ký (cho HS256) hoặc khóa công khai của bên phát hành ở định dạng PEM hoặc JWK (cho RS256, ES256 và tương tự) vào ô Verify signature, rồi nhấp Verify. Huy hiệu xuất hiện sẽ cho biết chữ ký là hợp lệ, không hợp lệ, hay dùng một thuật toán mà bộ xác minh phía trình duyệt không hỗ trợ — tất cả được tính toán cục bộ, mà không gửi token hay khóa đi bất cứ đâu.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Gỡ Lỗi Luồng OAuth & OpenID Connect

Giải mã access token và ID token được trả về bởi Auth0, Okta, Cognito và Azure AD để xác minh scope, audience và issuer trong quá trình tích hợp OAuth cục bộ

For Developers

Kiểm tra header Authorization trong các lệnh gọi API

Dán bearer token từ một yêu cầu API bị lỗi để xác nhận xem có phải do sai tenant, vai trò hay thời hạn hết hiệu lực trước khi mở ticket với nhóm backend hay không

For Developers

Kiểm tra thời hạn token trong quá trình phát triển

Phát hiện token đã hết hạn đang âm thầm làm hỏng môi trường staging của bạn bằng cách đọc claim exp — không cần dán token vào terminal hay viết script tạm

For Business

Kiểm tra các quyền được mã hóa trong claim của token

Xác minh các claim tùy chỉnh như vai trò, tenant và cờ tính năng để quản trị viên xác nhận token của khách hàng cấp đúng quyền truy cập mà nhóm cấp phép dự định

For Business

Xác thực tích hợp đăng nhập một lần (SSO)

Kiểm tra các token SAML và OIDC do tích hợp SSO doanh nghiệp tạo ra để xác nhận quyền thành viên nhóm và ánh xạ thuộc tính trước khi triển khai cho toàn bộ nhân viên

Education

Dạy xác thực dựa trên token

Dùng các khung header, payload và chữ ký đã giải mã để giải thích cấu trúc của JWT cho học viên bootcamp, kỹ sư mới vào nghề và những người tham dự hội thảo bảo mật

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.