Giải mã JWT

Dán token JWT để giải mã header và payload. Không xác minh chữ ký.

Thực tiễn tốt nhất khi kiểm tra JWT


Giải mã token giúp bạn kiểm tra các claims nhanh chóng trong quá trình gỡ lỗi xác thực, nhưng giải mã một mình không chứng minh tính xác thực.

  • Xem lại dấu thời gian exp và nbf trước khi kiểm tra các route được bảo vệ.
  • Kiểm tra các giá trị aud, iss và sub với cài đặt môi trường dự kiến.
  • Coi dữ liệu payload đã giải mã là không đáng tin cho đến khi xác minh chữ ký thành công.

Về JSON Web Tokens


JSON Web Token (JWT) là biểu diễn nhỏ gọn, an toàn URL của các claims được chuyển giữa hai bên. Các claims được mã hóa dưới dạng đối tượng JSON được ký số bằng JSON Web Signature (JWS) hoặc mã hóa bằng JSON Web Encryption (JWE). JWT thường được sử dụng cho xác thực và trao đổi thông tin vì chữ ký của chúng có thể được xác minh và nội dung của chúng được tin cậy mà không cần truy vấn cơ sở dữ liệu.

Header, Payload và Chữ ký

JWT bao gồm ba phần được mã hóa Base64URL cách nhau bằng dấu chấm. Header chỉ định loại token và thuật toán ký, chẳng hạn HMAC SHA-256 hoặc RSA. Payload chứa các claims, là các tuyên bố về đối tượng và metadata bổ sung bao gồm thời gian hết hạn và nhà phát hành. Chữ ký được tạo ra bằng cách mã hóa header và payload và ký chúng bằng thuật toán được khai báo trong header, cho phép người nhận xác minh token chưa bị giả mạo.

Wikipedia — JSON Web Token