Toova có xác minh chữ ký JWT không?

Không. Việc xác minh cần khóa ký, mà chỉ bên phát hành mới giữ. Toova giải mã header và payload để bạn kiểm tra các claim, nhưng tin tưởng token vẫn cần xác minh phía máy chủ với bí mật hoặc khóa công khai.

Token của tôi có được gửi đi đâu không?

Không. Trình giải mã chạy hoàn toàn trong trình duyệt của bạn. Token không bao giờ rời thiết bị của bạn, và có số yêu cầu mạng đi ra bằng không trong khi giải mã. Mở DevTools và tự xác minh.

Tôi có thể giải mã token đã hết hạn không?

Có. Trình giải mã hoạt động bất kể hết hạn. Nó đánh dấu token là hết hạn và hiển thị khi claim exp đã trôi qua, giúp khi gỡ lỗi lý do một yêu cầu bị từ chối.

Trường alg cho tôi biết điều gì?

Nó xác định thuật toán ký — HS256 cho HMAC-SHA256, RS256 cho RSA, ES256 cho ECDSA, và vân vân. Nếu alg là "none" token không có chữ ký, gần như luôn là lỗ hổng bảo mật.

Vì sao các dấu thời gian là số?

Claim JWT dùng giây Unix epoch. Toova dịch iat, nbf, và exp sang múi giờ địa phương của bạn để bạn đọc, trong khi vẫn giữ giá trị thô có thể nhìn thấy để tham khảo.

Giải mã JWT — kiểm tra mã JSON Web Token

Bộ giải mã và kiểm tra JWT

Riêng tư theo thiết kế — chạy hoàn toàn trong trình duyệt của bạn

Giải mã JWT (JSON Web Token) và kiểm tra header và payload mà không gửi token đi đâu cả. Toova hiển thị thuật toán, claim, dấu thời gian phát hành và hết hạn dưới dạng con người đọc được, và đánh dấu token đã hết hạn — tất cả cục bộ, trong trình duyệt của bạn.

Vì sao giải mã JWT cục bộ

Mọi trình giải mã JWT khác yêu cầu bạn dán token vào biểu mẫu từ xa. Vấn đề hiển nhiên — nếu token hợp lệ, ai vận hành máy chủ đó có thể giả mạo bạn. Toova giải mã token hoàn toàn trong trình duyệt của bạn, không tải lên và không nhật ký. Bạn có thể dán token truy cập sản xuất, kiểm tra các claim, và xác minh nó có cấu trúc đúng mà không rò rỉ cho bên thứ ba.

Bạn thấy gì trong đầu ra đã giải mã

Toova chia token thành header, payload, và chữ ký. Header hiển thị thuật toán và ID khóa. Payload là JSON in đẹp với mọi claim chuẩn (iss, sub, aud, exp, nbf, iat, jti) chuyển thành dạng dễ đọc. Dấu thời gian được dịch sang múi giờ địa phương của bạn và công cụ đánh dấu liệu token hiện hợp lệ, hết hạn, hay chưa hoạt động.

Chỉ giải mã, không bao giờ tin tưởng

Giải mã JWT không giống xác minh nó. Trình giải mã hiển thị token tuyên bố nó là gì, nhưng không kiểm tra chữ ký — điều đó cần khóa ký, vốn nằm trên máy chủ phát hành token. Dùng Toova để gỡ lỗi cấu trúc claim, hết hạn, và giá trị audience; dùng thư viện auth của bạn để xác minh tin tưởng trước khi cấp quyền truy cập.

Câu hỏi thường gặp

Toova có xác minh chữ ký JWT không?: Không. Việc xác minh cần khóa ký, mà chỉ bên phát hành mới giữ. Toova giải mã header và payload để bạn kiểm tra các claim, nhưng tin tưởng token vẫn cần xác minh phía máy chủ với bí mật hoặc khóa công khai.
Token của tôi có được gửi đi đâu không?: Không. Trình giải mã chạy hoàn toàn trong trình duyệt của bạn. Token không bao giờ rời thiết bị của bạn, và có số yêu cầu mạng đi ra bằng không trong khi giải mã. Mở DevTools và tự xác minh.
Tôi có thể giải mã token đã hết hạn không?: Có. Trình giải mã hoạt động bất kể hết hạn. Nó đánh dấu token là hết hạn và hiển thị khi claim exp đã trôi qua, giúp khi gỡ lỗi lý do một yêu cầu bị từ chối.
Trường alg cho tôi biết điều gì?: Nó xác định thuật toán ký — HS256 cho HMAC-SHA256, RS256 cho RSA, ES256 cho ECDSA, và vân vân. Nếu alg là "none" token không có chữ ký, gần như luôn là lỗ hổng bảo mật.
Vì sao các dấu thời gian là số?: Claim JWT dùng giây Unix epoch. Toova dịch iat, nbf, và exp sang múi giờ địa phương của bạn để bạn đọc, trong khi vẫn giữ giá trị thô có thể nhìn thấy để tham khảo.