JWT 令牌解码与检查器

Blog

JWT 令牌解码与检查器

BlogCheatsheets
Loading...
Loading JWT...

描述

解码JSON Web Token以检查头部、载荷和签名,无需密钥。非常适合调试身份验证流程。

关于 JWT 令牌解码与检查器

JWT 解码器将一个 JSON Web Token 拆分为三部分——头部、载荷和签名——并解码 Base64URL 段,让你能以纯 JSON 格式读取声明。它完全在你的浏览器中运行,且永远不需要你的密钥,因为解码 JWT 并不需要对其进行验证。你可以用它来调试认证流程、检查令牌过期时间,以及确认服务签发了哪些声明。

使用方法

  1. 将你的 JWT(即长长的 xxxxx.yyyyy.zzzzz 字符串)粘贴到输入框中。
  2. 头部(算法和令牌类型)和载荷(声明)会被解码并以格式化的 JSON 显示。
  3. 检查标准声明,如 exp(过期)、iat(签发时间)、iss(签发者)和 sub(主体)。
  4. 签名段会显示但不会被验证——验证需要签名密钥。

常见问题

解码 JWT 需要密钥吗?

不需要。头部和载荷只是经过 Base64URL 编码,而非加密,因此任何人都可以解码并读取它们。密钥仅用于验证签名,以证明令牌未被篡改。

在这里粘贴令牌安全吗?

解码完全在你的浏览器中进行——任何内容都不会上传。不过,仍应将真实的访问令牌视为机密,避免将生产环境的令牌粘贴到任何你无法掌控的工具中。

为什么我的令牌显示为已过期?

exp 声明是一个 Unix 时间戳。如果它早于当前时间,则令牌已过期,大多数服务器都会拒绝它,即使它在这里仍能正常解码。

我能在这里读取加密的 JWE 吗?

不能。本工具解码已签名的 JWT(JWS)。加密令牌(JWE)需要解密密钥,仅靠解码无法以人类可读的形式呈现。