JWT 解码器

JWT 解码器使用说明

JSON Web Token (JWT) 是一种无状态的身份凭证标准,常用于 API 认证、单点登录等场景。本工具在浏览器本地解析 JWT 的三段结构,**不会上传任何 Token 到服务器**,可以放心粘贴包含敏感信息的 Token。

JWT 三段结构

• Header(头部):声明令牌类型(typ)和签名算法(alg)
• Payload(载荷):实际的业务数据,含标准声明(iss、sub、exp 等)和自定义字段
• Signature(签名):用于校验 Token 完整性,纯前端无法验证(需要密钥)

常见标准声明

iss 签发者 / sub 主题(用户ID) / aud 接收者 / exp 过期时间 / nbf 生效时间 / iat 签发时间 / jti JWT 唯一 ID

常见问题

这个工具能验证签名吗?

不能。签名验证需要服务端密钥(HS256 用对称密钥,RS256 用 RSA 公钥),纯前端工具无法获得。本工具只做 Header / Payload 的 base64url 解码与 JSON 美化。

JWT 安全吗?能直接放敏感数据吗?

JWT 默认只是 base64url 编码,任何人都能解码看到内容(就像本工具做的事)。**不要在 Payload 里放密码或敏感信息**,Payload 只能视作"已签名但公开可读"。如需加密,要用 JWE。

Token 过期了怎么办?

本工具会用 Payload 里的 exp 字段对比当前时间,过期会标红。过期 Token 服务端会拒绝,需要用 refresh_token 换新或者重新登录。