Question 1

Giải mã JWT có an toàn không? Ai cũng có thể đọc được?

Accepted Answer

Có, Header và Payload của JWT chỉ được mã hóa Base64URL — bất kỳ ai cũng có thể giải mã mà không cần khóa bí mật. Đừng bao giờ lưu trữ dữ liệu nhạy cảm như mật khẩu trong payload JWT. Chữ ký chỉ xác minh tính toàn vẹn, không phải tính bảo mật.

Question 2

Sự khác biệt giữa JWT và JWS là gì?

Accepted Answer

JWT (JSON Web Token) xác định cấu trúc token. JWS (JSON Web Signature) là cơ chế được sử dụng để ký token. Hầu hết JWT bạn gặp thực tế là token JWS với payload JWT.

Question 3

Tôi có thể sử dụng RSA hoặc ECDSA để ký JWT không?

Accepted Answer

Công cụ này hỗ trợ thuật toán HMAC (HS256, HS384, HS512) để ký. RSA (RS256) và ECDSA (ES256) sử dụng khóa bất đối xứng, yêu cầu phương thức quản lý khóa khác.

Question 4

Điều gì xảy ra khi JWT hết hạn?

Accepted Answer

Khi yêu cầu exp (hết hạn) đã qua, token được coi là đã hết hạn. Máy chủ nên từ chối token hết hạn. Công cụ này đánh dấu các token đã hết hạn để bạn có thể nhanh chóng nhận diện chúng trong quá trình gỡ lỗi.

Mã hóa/Giải mã JWT

JWT (JSON Web Token) là gì?

Cách giải mã JWT Token

Cách tạo JWT đã ký

Thêm công cụ