ตัวถอดรหัส JWT
ถอดรหัส JSON Web Token (JWT) เพื่อดูข้อมูลส่วนหัวและข้อมูลชุดคำสั่งอย่างรวดเร็ว พร้อมตรวจสอบลายเซ็นและโครงสร้างโทเค็น.
วาง JSON Web Token ใดๆ ด้านล่างเพื่อถอดรหัส โทเค็นของคุณถูกประมวลผลเฉพาะในเซสชันของคุณ — เราไม่บันทึกหรือจัดเก็บข้อมูล
ใช้เครื่องมือนี้จาก AI agent ของคุณ
JSON API ฟรีและเซิร์ฟเวอร์ Model Context Protocol (MCP) ฟรี ไม่ต้องลงทะเบียน ไม่ต้องใช้ API key, CORS เปิด ออกแบบสำหรับ Claude, ChatGPT, Cursor, สคริปต์ และแอปฟรอนต์เอนด์
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); เพิ่มลงใน claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) หรือไคลเอ็นต์อื่นที่รองรับ MCP:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}วิธีใช้
- วางโทเค็น JWT ของคุณในช่องอินพุตด้านบน
- คลิกถอดรหัสเพื่อดูส่วนหัว เพย์โหลด และลายเซ็น
- สำหรับการตรวจสอบลายเซ็น ระบุคีย์ลับ (HS256/384/512) หรือคีย์สาธารณะ (RS256/384/512)
- ตรวจสอบสถานะการหมดอายุเพื่อดูว่าโทเค็นยังใช้งานได้หรือไม่
คุณสมบัติหลัก
- ถอดรหัสส่วนหัวและเพย์โหลด JWT ในคลิกเดียว
- ตรวจสอบลายเซ็น HS256, HS384, HS512 ด้วยคีย์ลับ
- ตรวจสอบลายเซ็น RS256, RS384, RS512 ด้วยคีย์สาธารณะ
- แสดงเวลาหมดอายุ ไม่ก่อนหน้า และออกเมื่อในรูปแบบที่อ่านได้
- โทเค็นไม่เคยถูกบันทึกหรือจัดเก็บบนเซิร์ฟเวอร์ของเรา
กรณีการใช้งานทั่วไป
- ดีบักโฟลว์การตรวจสอบสิทธิ์ในแอปพลิเคชันของคุณ
- ตรวจสอบโทเค็นที่ส่งคืนโดยผู้ให้บริการ OAuth หรือ OpenID Connect
- ตรวจสอบเมื่อโทเค็นการเข้าถึงหมดอายุ
- ตรวจสอบว่าโทเค็นถูกลงนามโดยผู้ออกที่คาดหวัง
คำถามที่พบบ่อย
JWT เป็นวิธีที่กะทัดรัดและปลอดภัยสำหรับ URL ในการแสดงการอ้างสิทธิ์ระหว่างสองฝ่าย ประกอบด้วยสามส่วน — ส่วนหัว เพย์โหลด และลายเซ็น — แยกด้วยจุด JWT ถูกใช้อย่างแพร่หลายในการตรวจสอบสิทธิ์และการอนุญาต (OAuth 2.0, OpenID Connect, single sign-on)
ใช่ — โทเค็นถูกส่งไปยังเซิร์ฟเวอร์ของเราเพื่อให้ PHP สามารถถอดรหัสและ (ตัวเลือก) ตรวจสอบลายเซ็นได้เท่านั้น โทเค็นไม่เคยถูกบันทึก ไม่เคยถูกจัดเก็บ และไม่เคยถูกเขียนลงดิสก์ มันมีอยู่เฉพาะในหน่วยความจำในระหว่างคำขอเท่านั้น
เราตรวจสอบ HS256, HS384, HS512 (HMAC พร้อม SHA-2) เมื่อคุณให้คีย์ลับที่ใช้ร่วมกัน และ RS256, RS384, RS512 (RSA พร้อม SHA-2) เมื่อคุณให้คีย์สาธารณะของผู้ออกในรูปแบบ PEM อัลกอริทึมอื่นๆ (ES256, EdDSA ฯลฯ) จะถูกถอดรหัสแต่ไม่ได้รับการตรวจสอบ
การอ้างสิทธิ์ exp (การหมดอายุ) คือการประทับเวลา Unix หลังจากนั้นโทเค็นจะต้องไม่ถูกรับอีกต่อไป JWT ที่หมดอายุควรถูกปฏิเสธโดยเซิร์ฟเวอร์แม้ว่าลายเซ็นจะถูกต้อง ใช้โทเค็นรีเฟรชเพื่อรับโทเค็นการเข้าถึงใหม่
ไม่ การถอดรหัส JWT เพียงแค่อ่านเนื้อหา — มันไม่ได้พิสูจน์ว่าโทเค็นเป็นของแท้ คุณต้องตรวจสอบลายเซ็นด้วยคีย์ลับหรือคีย์สาธารณะของผู้ออกเสมอก่อนที่จะเชื่อการอ้างสิทธิ์ใดๆ ภายในนั้น
