JWT Decoder - ถอดรหัสและตรวจสอบ JWT ในเบราว์เซอร์ของคุณ

// ถอดรหัส JWT โดยไม่ต้องส่งข้อมูลไปยังเซิร์ฟเวอร์

ทำงานฝั่งไคลเอนต์เท่านั้น — ข้อมูลของคุณไม่ออกจากเบราว์เซอร์
ป้อน Token
วางไฟล์ JWT หรือข้อความที่นี่

วิธีถอดรหัส JWT Token

1

วาง JWT Token ของคุณ

คัดลอก JSON Web Token ของคุณและวางในช่องป้อนข้อมูล JWT decoder จะแยกวิเคราะห์และถอดรหัส token ที่เข้ารหัส Base64URL โดยอัตโนมัติทันที

2

ดู Claims ที่ถอดรหัสแล้ว

ตรวจสอบส่วนหัวและเพย์โหลด JWT ที่ถอดรหัสแล้ว ดู claims เช่น iss, sub, exp และ iat ในรูปแบบ JSON หรือตารางพร้อม timestamp ที่อ่านง่าย

3

ตรวจสอบลายเซ็น JWT

ป้อน secret key หรือ public key เพื่อตรวจสอบลายเซ็นของ token รองรับอัลกอริทึม HS256, HS384, HS512 (HMAC) สำหรับการตรวจสอบลายเซ็น

JSON Web Token (JWT) คืออะไร?

ส่วนหัว . เพย์โหลด . ลายเซ็น

JSON Web Token (JWT) เป็นมาตรฐานเปิด (RFC 7519) สำหรับการส่งข้อมูลอย่างปลอดภัยระหว่างฝ่ายต่างๆ เป็นวัตถุ JSON ที่กะทัดรัดและปลอดภัยสำหรับ URL JWT มักใช้สำหรับการยืนยันตัวตน, การอนุญาต และการแลกเปลี่ยนข้อมูลในเว็บแอปพลิเคชันสมัยใหม่, API และระบบ Single Sign-On (SSO)

ส่วนหัว

มีประเภท token และอัลกอริทึมการเซ็น (เช่น HS256, RS256, ES256)

{"alg": "HS256", "typ": "JWT"}

เพย์โหลด

มี claims: ที่ลงทะเบียน (iss, exp, sub), สาธารณะ และส่วนตัว

{"sub": "user123", "exp": 1699999999}

ลายเซ็น

ลายเซ็นเข้ารหัสที่ยืนยันว่า token ไม่ถูกแก้ไข

HMACSHA256(base64(header).base64(payload), secret)

กรณีการใช้งาน JWT ทั่วไป

การยืนยันตัวตน API

JWT เป็นมาตรฐานสำหรับการรักษาความปลอดภัย REST API หลังจากเข้าสู่ระบบ เซิร์ฟเวอร์จะออก JWT ที่ไคลเอนต์รวมไว้ในส่วนหัว Authorization: Bearer สำหรับคำขอถัดไป

Single Sign-On (SSO)

JWT ช่วยให้การยืนยันตัวตนราบรื่นในหลายแอปพลิเคชัน การเข้าสู่ระบบครั้งเดียวสร้าง token ที่ใช้งานได้ในทุกบริการที่เชื่อมต่อในองค์กรของคุณ

การแลกเปลี่ยนข้อมูล

ส่งข้อมูลอย่างปลอดภัยระหว่างฝ่ายต่างๆ ลายเซ็นรับประกันตัวตนของผู้ส่งและว่าข้อความไม่ถูกแก้ไขระหว่างการส่ง

การยืนยันตัวตนแอปมือถือ

การยืนยันตัวตนแบบ stateless เหมาะสำหรับแอปมือถือ ไม่ต้องการ session ฝั่งเซิร์ฟเวอร์—JWT มีข้อมูลผู้ใช้ที่จำเป็นทั้งหมด

คำถามที่พบบ่อย

JWT decoder นี้ปลอดภัยสำหรับใช้กับ production tokens หรือไม่?

ใช่ JWT decoder นี้ปลอดภัยอย่างสมบูรณ์ การถอดรหัสและตรวจสอบทั้งหมดเกิดขึ้นในเบราว์เซอร์ของคุณทั้งหมดโดยใช้ JavaScript tokens และ secret keys ของคุณไม่เคยถูกส่งไปยังเซิร์ฟเวอร์ใดๆ คุณสามารถตรวจสอบได้โดยดูคำขอเครือข่ายในเครื่องมือนักพัฒนาของเบราว์เซอร์—ไม่มีข้อมูลออกจากอุปกรณ์ของคุณ

ความแตกต่างระหว่างการถอดรหัสและตรวจสอบ JWT คืออะไร?

การถอดรหัสเพียงแค่แปลงส่วนหัวและเพย์โหลดที่เข้ารหัส Base64URL กลับเป็น JSON ที่อ่านได้ ใครก็ตามสามารถถอดรหัส JWT ได้โดยไม่ต้องใช้คีย์ การตรวจสอบตรวจสอบลายเซ็นเข้ารหัสเพื่อให้แน่ใจว่า token ไม่ถูกแก้ไขและออกโดยแหล่งที่เชื่อถือได้ การตรวจสอบต้องการ secret key (สำหรับ HMAC) หรือ public key (สำหรับ RSA/ECDSA)

รองรับอัลกอริทึมการเซ็น JWT ใดบ้าง?

เครื่องมือนี้สามารถถอดรหัส JWT ที่เซ็นด้วยอัลกอริทึมใดก็ได้ สำหรับการตรวจสอบลายเซ็น เราสนับสนุนอัลกอริทึม HMAC (HS256, HS384, HS512) โดยใช้ Web Crypto API การสนับสนุนการตรวจสอบ RSA (RS256, RS384, RS512) และ ECDSA (ES256, ES384, ES512) กำลังวางแผน

ทำไมการตรวจสอบลายเซ็น JWT ของฉันล้มเหลว?

สาเหตุทั่วไป: 1) Secret key ผิด—ตรวจสอบให้แน่ใจว่าคุณใช้คีย์เดียวกันกับที่เซ็น token 2) รูปแบบผิด—ลองสลับระหว่าง UTF-8 และ Base64 หาก secret ของคุณเข้ารหัส Base64 3) อัลกอริทึมไม่ตรงกัน—ตรวจสอบว่า claim alg ในส่วนหัวตรงกับวิธีการตรวจสอบของคุณ 4) Token ถูกแก้ไข—การเปลี่ยนแปลงใดๆ กับส่วนหัวหรือเพย์โหลดทำให้ลายเซ็นไม่ถูกต้อง

claims มาตรฐานของ JWT หมายถึงอะไร?

Claims ที่ลงทะเบียนที่กำหนดใน RFC 7519:

  • iss (ผู้ออก) – ใครออก token
  • sub (เรื่อง) – ผู้ใช้หรือเอนทิตีที่ token แทน
  • aud (ผู้รับ) – ผู้รับที่ตั้งใจของ token
  • exp (หมดอายุ) – Unix timestamp เมื่อ token หมดอายุ
  • nbf (ไม่ก่อน) – Token ไม่ถูกต้องก่อนเวลานี้
  • iat (ออกเมื่อ) – เมื่อ token ถูกสร้าง
  • jti (JWT ID) – ตัวระบุเฉพาะสำหรับ token