工具本機執行
JWT 解碼器
解碼 JSON Web 令牌並檢查其標頭、負載和聲明 — 完全在您的瀏覽器中,永不傳送到伺服器。
JWT
0 行0 位元組
解碼
0 行0 位元組
Handytool 僅解碼標頭和負載。簽名必須在伺服器端使用發行者的金鑰進行驗證。
關於JWT 解碼器
Handytool 的 JWT 解碼器將任何 JSON Web 令牌解析為其標頭和負載,突出顯示標準聲明(iss、sub、aud、iat、exp、nbf),並顯示令牌是否已過期。因為解碼完全是本機的,您可以貼上實際的存取令牌和會話令牌,而不會讓它們離開您的裝置。在偵錯驗證流程、OAuth 整合或返回不透明外觀 JWT 的第三方 API 時很有用。
JWT 解碼器功能
- 01
標頭、負載和聲明一覽無遺
解碼器將您的 JWT 分成其三個部分,將標頭和負載漂亮列印為 JSON,並在原始輸出上方的簡潔摘要中顯示標準聲明 — 演算法、主體、發行者、受眾、發行時間、到期時間。
- 02
到期和時間檢查
exp 聲明被轉譯為 ISO 時間戳,並相對於您的目前時鐘標記為有效或已過期。同樣適用於 nbf(不早於)和 iat(發行時間)。無需手動 Unix 到日期轉換。
- 03
解碼器只 — 永不上傳
令牌在您的瀏覽器中使用原生 atob 解碼。永不傳送到伺服器。在偵錯時安全地貼上生產 JWT、API 存取令牌或會話 Cookie。
JWT 解碼器常見問題
- 什麼是 JWT?
- JSON Web 令牌是一個緊湊的、URL 安全的令牌格式,由三個用點分隔的 Base64URL 編碼段組成:標頭(演算法和類型)、負載(聲明)和簽名。JWT 廣泛用於驗證、授權和短期 API 存取。
- 此解碼器是否驗證簽名?
- 否。解碼器只解析標頭和負載以顯示其中的內容。簽名驗證需要發行者的機密或公開金鑰,這必須保留在您的伺服器上 — 永不貼入網路工具。在您的應用程式中在伺服器端驗證簽名。
- 在這裡貼上真實 JWT 是否安全?
- 解碼完全在您的瀏覽器中進行 — 令牌永不傳輸。但是,JWT 未加密(擁有令牌的任何人都可以讀取聲明),因此像對待密碼一樣對待它們:不要共享它們、不要提交它們,並在它們洩露時輪換它們。
- 為什麼顯示簽名但未驗證?
- 顯示簽名是為了您可以在偵錯時將其與您的伺服器產生的內容進行比較。實際驗證需要簽名金鑰(HMAC 機密或 RSA/EC 公開金鑰),解碼器無法存取且不應該。
- 「exp」是什麼意思?
- exp 是到期聲明 — 一個 Unix 時間戳,在此之後令牌應被拒絕。解碼器將其轉換為 ISO 時間戳並顯示綠色標籤(如果仍在將來),或紅色標籤(如果令牌已過期)。