实用工具本地运行
JWT 解码器
解码 JSON Web Token 并检查其标头、有效负载和声明 — 全在您的浏览器中,永不发送到服务器。
JWT
0 行0 字节
已解码
0 行0 字节
Handytool 仅解码标头和有效负载。签名必须使用发行者的密钥在服务器端验证。
关于JWT 解码器
Handytool 的 JWT 解码器将任何 JSON Web Token 解析为其标头和有效负载,突出显示标准声明(iss、sub、aud、iat、exp、nbf),并显示令牌是否已过期。由于解码完全是本地的,您可以粘贴真实的访问令牌和会话令牌,而无需它们离开您的设备。在调试身份验证流程、OAuth 集成或返回不透明 JWT 的第三方 API 时很有用。
JWT 解码器功能
- 01
标头、有效负载和声明一览
解码器将您的 JWT 分成三个段,以 JSON 格式美化打印标头和有效负载,并在原始输出上方的紧凑摘要中显示标准声明 — 算法、主体、发行者、受众、发行时间、过期时间。
- 02
过期和时间检查
exp 声明被转换为 ISO 时间戳,并相对于您的当前时钟标记为有效或过期。对于 nbf(不在之前)和 iat(发行时间)也是一样。不再需要手动 Unix 到日期转换。
- 03
仅解码 — 永不上传
令牌在您的浏览器中使用原生 atob 进行解码。任何内容都不会被发送到服务器。在调试时安全地粘贴生产 JWT、API 访问令牌或会话 cookie。
JWT 解码器常见问题
- 什么是 JWT?
- JSON Web Token 是一种紧凑、URL 安全的令牌格式,由三个用点分隔的 Base64URL 编码段组成:标头(算法和类型)、有效负载(声明)和签名。JWT 广泛用于身份验证、授权和短期 API 访问。
- 这个解码器验证签名吗?
- 不。解码器仅解析标头和有效负载以显示内容。签名验证需要发行者的秘密或公钥,这必须保留在您的服务器上 — 永远不要将其粘贴到 Web 工具中。在您的应用程序中服务器端验证签名。
- 在这里粘贴真实 JWT 安全吗?
- 解码完全在您的浏览器中进行 — 令牌永不传输。但是,JWT 不是加密的(拥有令牌的任何人都可以读取声明),因此像对待密码一样对待它们:不要分享、不要提交、如果泄露则轮换。
- 为什么显示签名但不验证?
- 显示签名是为了您可以在调试时将其与服务器生成的内容进行比较。实际验证需要签名密钥(HMAC 秘密或 RSA/EC 公钥),解码器无法访问且不应该访问。
- "exp" 是什么意思?
- exp 是过期声明 — 一个 Unix 时间戳,在该时间之后应该拒绝令牌。解码器将其转换为 ISO 时间戳,并在仍在未来时显示绿色标签,或在令牌已过期时显示红色标签。