JWT 解码器
热门 🔥解码和检查 JWT 令牌
如何使用 JWT 解码器
- 1粘贴您的 JWT 令牌
- 2即时查看解码的头部和载荷
- 3检查过期时间和其他声明
关于 JWT 解码器
JWT 解码器即时解码 JSON Web Token(JWT),并以清晰可读的格式显示头部、载荷和签名部分。JWT 是 REST API、OAuth 2.0 服务和单点登录(SSO)系统使用的主流认证令牌格式。
粘贴任何 JWT 字符串,工具即刻显示头部中的算法、载荷中的声明(包括过期时间、发行者、主题和自定义声明),以及原始签名。过期时间以人类可读的日期格式显示。
所有解码均完全在浏览器中使用 Base64URL 解码完成,不会将数据发送到任何服务器。由于 JWT 通常携带敏感的认证信息,浏览器本地处理可确保您的令牌保持私密。
JWT 解码器的主要功能
- 解码任何 JWT 并显示头部、载荷和签名
- 显示头部中的签名算法(HS256、RS256 等)
- 将过期(exp)、签发时间(iat)和不早于(nbf)显示为可读日期
- 用清晰的视觉警告高亮显示已过期的令牌
- 头部和载荷均以格式化 JSON 输出
- 完全在浏览器内运行,令牌不会被传输
- 支持所有标准 JWT 结构,包括嵌套 JWT
- 一键复制完整解码载荷
示例
检查 OAuth 2.0 访问令牌中的声明
查看 OAuth 授权服务器返回的令牌的主题、作用域和过期时间。
输入
eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIiwic2NvcGUiOiJyZWFkIiwiZXhwIjoxNzAwMDAwMDAwfQ.signature
输出
头部: {"alg":"RS256"} | 载荷: {"sub":"user123","scope":"read","exp":"2023-11-14T22:13:20Z"}检查会话令牌是否已过期
通过检查 exp 声明判断用户会话的 JWT 是否仍然有效。
输入
包含过去日期 exp 声明的 JWT
输出
令牌于 2025-01-01 00:00:00 UTC 过期——以红色高亮显示
常见使用场景
- 检查 OAuth 2.0 访问令牌以验证作用域和过期时间
- 通过检查 JWT 声明与 API 要求来调试认证失败
- 在集成新身份提供者时验证令牌结构和算法
- 检查 API 日志中传入令牌的主题(sub)和发行者(iss)
- 在安全培训和研讨会中讲解 JWT 结构和声明
- 快速检查令牌是否已过期
故障排除
令牌无效——令牌不是 JWT
解决方案
JWT 必须包含三个以点分隔的部分(头部.载荷.签名)。确保您粘贴了完整的令牌字符串,并且没有意外截断任何部分。
载荷显示乱码
解决方案
JWT 各部分使用 Base64URL 编码。解码器会自动处理。如果输出是乱码,请确保令牌完整且在粘贴前未被修改。
无法判断令牌是否有效(真实性)
解决方案
解码显示声明,但不验证签名。签名验证需要签名密钥。请使用您应用程序的 JWT 库在服务器端进行验证。
常见问题
使用此工具时我的 JWT 令牌安全吗?
是的。所有解码都在您的浏览器中通过 JavaScript 本地完成。您的 JWT 不会被发送到任何服务器、存储或记录。
它能验证 JWT 签名吗?
不能。签名验证需要密钥或公钥。此工具仅解码并显示头部和载荷。
什么是 JWT?
JSON Web Token(JWT)是一种紧凑、URL 安全的令牌格式,将一组声明编码为 JSON 对象。它由三个 Base64URL 编码的部分组成:头部(算法)、载荷(声明)和签名。
JWT 中应该关注哪些声明?
关键标准声明包括:sub(主题/用户 ID)、iss(发行者)、aud(受众)、exp(过期时间)、iat(签发时间)和 nbf(不早于)。
如何判断 JWT 是否已过期?
exp 声明包含一个 Unix 时间戳,表示令牌的过期时间。此工具将其转换为人类可读的日期,并高亮显示已过期的令牌。
HS256 和 RS256 有什么区别?
HS256 使用共享密钥。RS256 使用私钥签名,使用公钥验证——适用于分布式系统。
可以不用库解码 JWT 吗?
可以。JWT 只是三个以点分隔的 Base64URL 编码 JSON 字符串。此工具正是自动化了这一过程。
应该将生产令牌粘贴到在线工具吗?
此工具在您的浏览器中本地处理令牌,不会传输任何内容。对于高安全环境中的敏感生产令牌,请考虑使用本地运行的版本。