JWT Decoder Online — Giải mã JSON Web Token an toàn, không verify signature

JWT là gì?

JSON Web Token (JWT) là chuẩn mở (RFC 7519) để trao đổi thông tin an toàn giữa các bên dưới dạng JSON object. JWT gồm 3 phần phân cách bằng dấu chấm:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.abc123

• Header — thuật toán ký (HS256, RS256…) và loại token
• Payload — dữ liệu (claims): sub, name, exp, iat…
• Signature — chữ ký số để verify tính toàn vẹn

JWT Decoder của Metoolzy

JWT Decoder giúp bạn giải mã (decode) JWT token để xem nội dung header và payload — không verify signature.

Tính năng

• Decode header + payload — Hiện JSON formatted, syntax highlighted
• Kiểm tra thời hạn — Badge xanh/đỏ cho exp (expired?), hiện iat dạng ngày giờ
• Copy từng phần — Copy header, payload, hoặc signature riêng
• Cảnh báo bảo mật — Nhắc nhở không dán production token có dữ liệu nhạy cảm
• Client-side 100% — Token không gửi lên server, decode hoàn toàn trên browser

Cách sử dụng

1. Truy cập JWT Decoder
2. Dán JWT token (bắt đầu bằng eyJ...) vào textarea
3. Header và Payload tự động hiện bên dưới
4. Kiểm tra exp badge — đỏ nếu token đã hết hạn

JWT Claims phổ biến

Claim	Ý nghĩa	Ví dụ
sub	Subject (user ID)	“1234567890”
name	Tên người dùng	“John Doe”
iat	Issued At (thời điểm tạo)	1716000000
exp	Expiration (hết hạn)	1716086400
iss	Issuer (bên phát hành)	“auth.example.com”
aud	Audience (đối tượng)	“my-app”

Câu hỏi thường gặp

Có an toàn khi paste JWT lên online tool?

Metoolzy JWT Decoder chạy 100% client-side — token không gửi đi đâu. Tuy nhiên, tránh paste production token có real user data vào bất kỳ tool online nào.

Tại sao không verify signature?

Verify signature cần secret key hoặc public key — không nên share lên tool online. Decode payload là đủ cho mục đích debug.

JWT decode có giống nhau trên mọi tool?

Có. JWT header và payload chỉ là Base64URL encode — bất kỳ decoder nào đều cho kết quả giống nhau.

👉 Decode JWT miễn phí →

Xem thêm: Base64 Encode/Decode · Hash Generator · JSON Formatter