Bộ giải mã JWT
Giải mã và hiển thị nội dung của JSON Web Token (JWT) để kiểm tra thông tin xác thực mà không cần xác minh chữ ký.
Dán bất kỳ JSON Web Token nào bên dưới để giải mã. Token của bạn chỉ được xử lý trong phiên hiện tại — chúng tôi không ghi log hay lưu trữ nó.
Sử dụng công cụ này từ tác nhân AI của bạn
API JSON và máy chủ Model Context Protocol (MCP) miễn phí. Không cần đăng ký, không cần khóa API, CORS mở. Được thiết kế cho Claude, ChatGPT, Cursor, script và ứng dụng frontend.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Thêm vào claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) hoặc bất kỳ máy khách MCP tương thích nào khác:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Cách sử dụng
- Dán token JWT của bạn vào trường nhập bên trên.
- Nhấp vào Giải mã để xem tiêu đề, payload và chữ ký.
- Để xác minh chữ ký, cung cấp khóa bí mật (HS256/384/512) hoặc khóa công khai (RS256/384/512).
- Kiểm tra trạng thái hết hạn để xem token có còn hoạt động hay không.
Tính năng chính
- Giải mã tiêu đề và payload JWT chỉ với một cú nhấp chuột
- Xác minh chữ ký HS256, HS384, HS512 bằng khóa bí mật
- Xác minh chữ ký RS256, RS384, RS512 bằng khóa công khai
- Hiển thị dấu thời gian hết hạn, không trước và phát hành ở định dạng dễ đọc
- Token không bao giờ được ghi log hay lưu trữ trên máy chủ của chúng tôi
Các trường hợp sử dụng phổ biến
- Gỡ lỗi luồng xác thực trong ứng dụng của bạn
- Kiểm tra token được trả về bởi nhà cung cấp OAuth hoặc OpenID Connect
- Kiểm tra khi nào token truy cập hết hạn
- Xác minh rằng token đã được ký bởi bên phát hành mong đợi
Câu hỏi thường gặp
JWT là một cách nhỏ gọn, an toàn cho URL để biểu diễn các claim giữa hai bên. Nó được tạo thành từ ba phần — tiêu đề, payload và chữ ký — phân cách bằng dấu chấm. JWT được sử dụng rộng rãi trong xác thực và ủy quyền (OAuth 2.0, OpenID Connect, đăng nhập một lần).
Có — token chỉ được gửi đến máy chủ của chúng tôi để PHP có thể giải mã và (tùy chọn) xác minh chữ ký. Token không bao giờ được ghi log, không bao giờ được lưu trữ và không bao giờ được ghi vào đĩa. Nó chỉ tồn tại trong bộ nhớ trong khoảng thời gian của yêu cầu.
Chúng tôi xác minh HS256, HS384, HS512 (HMAC với SHA-2) khi bạn cung cấp khóa bí mật chung, và RS256, RS384, RS512 (RSA với SHA-2) khi bạn cung cấp khóa công khai của bên phát hành ở định dạng PEM. Các thuật toán khác (ES256, EdDSA, v.v.) được giải mã nhưng không được xác minh.
Claim exp (hết hạn) là dấu thời gian Unix mà sau đó token không được chấp nhận nữa. Một JWT đã hết hạn phải bị máy chủ từ chối ngay cả khi chữ ký hợp lệ. Sử dụng refresh token để lấy token truy cập mới.
Không. Giải mã JWT chỉ đọc nội dung của nó — nó không chứng minh token là thật. Bạn phải luôn xác minh chữ ký bằng khóa bí mật hoặc khóa công khai của bên phát hành trước khi tin tưởng bất kỳ claim nào bên trong nó.
