🔐
JWT解码器
解析和分析JWT令牌
JWT解码工具可以将Base64编码的JSON Web Token拆解为可读的Header、Payload和Signature三部分。工具自动解析令牌中的标准声明(如过期时间、签发者)并以清晰的JSON格式展示。前后端开发者在调试OAuth认证流程、排查API鉴权问题或学习JWT工作原理时,能够快速查看令牌携带的实际数据内容。
📖 使用方法
- 将JWT令牌粘贴到输入框
- 头部和载荷将自动解码
- 查看过期时间和声明信息
- 可验证令牌有效性
✨ 主要功能
- ✓自动解码头部/载荷
- ✓查看过期时间
- ✓显示声明信息
- ✓显示有效性状态
- ✓JSON格式输出
💡 使用场景
- •后端开发:调试OAuth2.0/OpenID Connect认证流程中的令牌内容
- •前端开发:检查存储在Cookie或localStorage中的JWT是否过期
- •API测试:验证接口返回的JWT令牌中的用户权限和角色信息
- •安全审计:检查JWT中是否包含了不应暴露的敏感数据
- •技术学习:解码JWT令牌以理解Header/Payload/Signature的结构
- •故障排查:快速确认JWT的签发时间、过期时间和自定义Claims
🎯 使用技巧
- ▸注意JWT的Payload部分只是Base64编码而非加密——不要在其中存放密码等敏感信息
- ▸检查exp(过期时间)字段时注意时间戳是Unix格式(秒),工具会自动转换为可读日期
- ▸对比iss(签发者)和aud(受众)声明,确认令牌是否来自预期的认证服务
- ▸如果令牌解码失败,检查是否完整粘贴了包含三个点号分隔的完整JWT字符串
❓ 常见问题
Q. 也会验证JWT签名吗?
A. 本工具仅进行解码和展示,不验证签名。签名验证需要服务端使用对应的密钥(对称密钥或公钥)进行,属于后端安全逻辑。
Q. JWT的三部分是什么?
A. Header声明令牌类型和签名算法(如HS256、RS256);Payload包含用户数据和标准声明(sub、exp、iat等);Signature是对前两部分的加密签名,用于防篡改。
Q. 为什么显示「已过期」?
A. JWT中的exp字段记录了过期时间戳。如果当前时间超过该时间戳,工具会标记为已过期。在实际应用中,过期的JWT通常会被服务端拒绝。
Q. JWT是加密的吗?
A. 标准JWT(JWS)只是签名而非加密——任何人都可以解码Payload内容。如果需要加密JWT载荷,应使用JWE(JSON Web Encryption)规范。
Q. 能解码Refresh Token吗?
A. 如果Refresh Token是JWT格式,可以解码。但很多系统的Refresh Token是不透明字符串(opaque token),不是JWT格式就无法解码。
Q. 解码JWT安全吗?
A. 本工具完全在浏览器中运行,JWT数据不会发送到任何服务器。但仍建议不要在公共设备上解码包含生产环境敏感数据的令牌。