JWT 解码器
解码和检查 JSON Web Token。
Base64url encoded
Signature verification requires the secret key or public key, which is not available client-side. This tool only decodes — it does not verify signatures.
JWT解码器
将JSON Web Token解析为三个组成部分——头部(header)、载荷(payload)和签名(signature)——使您无需后端服务即可检查声明和元数据。它处理Base64url解码,格式化显示JSON,并为标准时间声明(iat、exp、nbf)显示可读的时间戳。
用途
- API调试:检查来自OAuth 2.0 / OpenID Connect流程的访问令牌,验证声明、范围和过期时间
- 身份验证故障排除:检查令牌是否过期、是否由正确的提供者(iss)签发、或是否面向正确的受众(aud)
- 学习JWT结构:通过每个部分的可视化分解了解JWT的组成
- CI/CD和DevOps:在部署到生产环境之前验证流水线中生成的令牌
使用步骤
- 将JWT令牌粘贴到输入字段中(Bearer前缀会自动去除)
- 头部、载荷和签名会立即解码
- 在载荷部分查看解析的声明
- 检查以徽章和相对时间显示的过期状态
- 复制单个部分或完整的解码输出
工作原理
JWT由三个以点分隔的Base64url编码段组成。此工具将令牌拆分,使用标准Base64url字母表解码每个段,并解析生成的JSON。所有处理完全在您的浏览器中进行——不会向任何服务器发送数据。该工具自动去除Bearer前缀并实时显示过期状态。注意:此工具仅解码令牌,不验证签名。签名验证需要密钥或公钥,这些不应该输入到任何Web工具中。
技巧与最佳实践
- 您可以粘贴完整的Authorization头部值——Bearer前缀会自动去除
- 时间声明(iat、exp、nbf)同时显示为UNIX时间戳和可读日期
- 将此工具与日期转时间戳转换器配合使用,创建JWT声明的测试值
- 切勿将生产环境的密钥粘贴到任何Web工具中——只粘贴令牌本身
常见问题
在这里粘贴我的JWT安全吗?
是的。所有操作100%在您的浏览器客户端运行。没有令牌被发送到任何服务器、存储或记录。您可以通过检查浏览器开发者工具中的网络选项卡来验证这一点。
JWT解码和验证有什么区别?
解码只是通过Base64url解码读取头部和载荷——任何人都可以做到。验证是检查签名是否与密钥(HMAC)或公钥(RSA/EC)匹配,以确认令牌未被篡改。此工具仅进行解码。
标准JWT声明有哪些?
RFC 7519中定义的注册声明包括:iss(签发者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(生效时间)、iat(签发时间)和jti(JWT ID)。应用程序可以添加任何所需的自定义声明。
我可以解码过期的令牌吗?
可以。过期的令牌会正常解码——工具会显示过期徽章,并通过相对时间指示器显示令牌何时过期。
隐私与安全
本工具使用编译为 WebAssembly (WASM) 的 FFmpeg。WASM 二进制文件(约 25MB)在首次使用时从 CDN 下载,并由浏览器缓存。所有文件处理均在您的设备上本地完成--您的文件绝不会上传到任何服务器。因此,处理敏感、私密或机密的媒体文件是安全的。较大的文件可能需要更长的处理时间,具体取决于您设备的 CPU 和可用内存。