JWT解码——即时读取任意令牌
这款 JWT 解码工具让你粘贴任意 JSON Web Token,即可在浏览器中瞬间读取它的头部、载荷与签名。它专为调试身份认证、API 授权或单点登录流程的开发者打造,让你一眼看清令牌里到底装了什么。
一个 JWT 由三段以点号分隔的部分组成:头部(令牌类型与签名算法)、载荷(声明——用户 ID、邮箱、角色、过期时间等等),以及签名(用于验证令牌未被篡改)。你一边输入,解码工具就一边拆分并格式化这三部分,附带声明说明和可读的时间戳,省去你逐一查阅的麻烦。
如何解码 JWT
粘贴你的令牌
把你的 JWT 放进编码后的令牌输入框。它会随着你输入自动解码——无需点击任何按钮。若只想看看效果,点击示例加载一个演示令牌。
阅读解码后的各部分
头部与载荷以带语法高亮的格式化 JSON 呈现,各自位于配色区分的面板中。签名则以原始的 Base64URL 字符串显示。
查看状态
状态栏显示签名算法与令牌类型,以及令牌是有效、已过期、尚未生效还是永不过期,并附上诸如"2 小时后过期"的相对时间。
探索与复制
悬停在任意已识别的声明名称上——比如 iss、sub 或 exp——即可查看它的含义。使用复制按钮单独获取头部、载荷或签名。
功能特性
实时解码
令牌在你粘贴或输入时即被解析——结果实时更新,无需点击任何按钮。
配色区分的面板
头部、载荷与签名各有一个颜色鲜明的独立面板,三部分一眼即可分清。
JSON 语法高亮
解码后的头部与载荷中,键、字符串、数字、布尔值与 null 均以不同颜色高亮,便于阅读。
悬停说明声明含义
来自 JWT 规范、OpenID Connect 与 OAuth 2.0 的标准声明——如 iss、sub、aud、exp、iat、nbf 与 jti——悬停时会显示简短说明。
可读的时间戳
exp、iat、nbf 等 Unix 时间戳会就地标注为可读日期,免去你手动换算。
过期状态
清晰的徽章标明令牌是有效、已过期、尚未生效还是永不过期,并附上相对时间倒计时。
算法与类型显示
签名算法(HS256、RS256、ES256 等)与令牌类型直接从头部读取,并显示在状态栏中。
一键复制
单击即可单独复制解码后的头部、载荷或签名。
示例令牌
加载一个现成的演示令牌,先看解码工具如何运作,再粘贴你自己的令牌。
全程浏览器本地
每个令牌都在你的浏览器本地解码——不会发送到服务器、不会保存、也不会被追踪。
常见问题
在这里在线解码 JWT 安全吗?
安全。这款解码工具完全在你的浏览器中运行——你的令牌绝不会被发送到任何服务器、存储或记录。你可以打开浏览器的网络面板亲自确认:粘贴令牌时不会发出任何请求。
解码 JWT 会验证签名吗?
不会。这是一款解码工具,而非验证工具。它读取并展示令牌的内容,但不会校验加密签名。要验证签名,你需要签名密钥(HMAC)或公钥(RSA/ECDSA)。
没有密钥也能解码 JWT 吗?
可以。解码只读取头部和载荷,它们是普通的 Base64URL 编码——无需任何密钥。只有在验证令牌时才需要密钥或公钥,读取令牌内容则不需要。
JWT 的载荷是加密的,还是只是 Base64?
标准的签名 JWT 并未加密——头部和载荷只是经过 Base64URL 编码,因此任何人都能读取。签名只能证明令牌未被改动。除非你使用加密的 JWE 令牌,否则切勿在 JWT 载荷中放入敏感信息。
JWT 由哪三部分组成?
一个 JWT 是用点号连接的三段 Base64URL 字符串:头部(令牌类型与签名算法)、载荷(关于用户和令牌的声明),以及签名(用于检测篡改的哈希值)。解码工具会把每一部分显示在各自的面板中。
如何查看过期(exp)声明?
exp 声明是一个 Unix 时间戳。解码工具会就地标注为可读日期,并显示已过期、有效或尚未生效徽章及相对时间,让你无需自己换算数字就能一眼看清令牌状态。
支持哪些签名算法?
无论采用何种算法,解码都能正常工作——HS256/384/512、RS256/384/512、ES256/384/512、PS256 等等。算法会从头部读取,并在令牌解码后显示在状态栏中。
还没有评论,快来发表第一条!