Debug auth flow và muốn xem claim trong token (sub, exp, scope, custom claim). Inspect provider token (Google, Auth0, Cognito) để xem cấu trúc của nó. Confirm token chưa hết hạn — claim exp là epoch seconds.

JWT Decoder

Dán một JWT, decode header và payload. Toàn bộ decode xảy ra trong trình duyệt — token không bao giờ rời khỏi trang.

JWT

Header

Nhập dữ liệu ở trên để xem kết quả.

Payload

Nhập dữ liệu ở trên để xem kết quả.

Signature (base64url, not verified)

Nhập dữ liệu ở trên để xem kết quả.

This tool decodes only — it does not verify the signature against a key. Treat decoded payload as untrusted until verified.

Tạo bởi JXXR1 · ♥ Tài trợ · ☕ Mời tôi một ly cà phê

Công cụ này để làm gì?

Một JWT (JSON Web Token) gồm ba phần được phân tách bằng dấu chấm: header.payload.signature — mỗi phần là base64url-encoded JSON (signature là binary). Tool này tách ba phần, decode JSON, và hiển thị header và payload với syntax highlighting. Signature được hiển thị nguyên trạng (không thể verify mà không có key).

Khi nào nên dùng

Debug auth flow và muốn xem claim trong token (sub, exp, scope, custom claim).
Inspect provider token (Google, Auth0, Cognito) để xem cấu trúc của nó.
Confirm token chưa hết hạn — claim exp là epoch seconds.

Lưu ý thường gặp

JWT không phải mã hóa, chỉ là encode + sign. Bất kỳ ai cũng có thể đọc payload. Đừng bao giờ đặt secret hoặc PII vào claim.
Signature verification cần key. Tool này decode nhưng không verify. Để verify, bạn cần public key của issuer hoặc shared secret.
JWT không phải session. Token có claim hết hạn nhưng không thể revoke trừ khi backend của bạn maintain danh sách revocation. Đối với session, dùng cookie.
Token chạy hoàn toàn local trong tool này. Không có gì được upload — nhưng đừng paste token sản xuất vào tool ngẫu nhiên dù sao đi nữa.