开发工具加密解密

Daily utilities

JWT 解码器

查看 JWT Header、Payload 与签名信息。

JWTToken免费功能

Overview

先看明白,再动手。

JWT 解码器把一段 JWT 拆成 Header、Payload 与签名部分,便于本地查看算法、过期时间、受众等声明。默认做的是 Base64URL 解码与结构化展示,不是「破解签名」或代替服务端验签。粘贴生产环境 token 时请注意:Payload 通常只是编码不是加密,敏感声明仍可能被任何人读到。

Audience

适用人群

调试登录态、网关鉴权与 API 集成的开发者、测试。免费本地工具;安全审计仍需在服务端完成签名校验与权限判定。

Scenarios

什么时候用它

01

接口 401 时查看 token 是否已过期(exp)或尚未生效(nbf)

02

确认 iss/aud/sub 等声明是否与当前环境配置一致

03

核对 Header 中的 alg 与 kid,排查密钥轮换问题

04

教学演示 JWT 三段结构,而不把 token 贴到不明网站

Highlights

能力亮点

解析 Header / Payload / 签名分段
声明字段结构化展示,便于对照
本地解码,减少 token 外泄到第三方站点
快速发现格式错误(段数不对、Base64 损坏)
免费,适合联调现场

Step by step

使用步骤

01

粘贴 JWT

复制完整 token(通常三段,用点分隔)。去掉 Bearer 前缀与多余空格、换行。

02

查看解码结果

阅读 Header(alg、typ、kid 等)与 Payload(业务声明)。确认 JSON 是否可读。

03

核对时间类声明

对比 exp、iat、nbf 与当前时间。注意时区与秒/毫秒单位,避免误判「已过期」。

04

对照业务配置

检查 aud、iss、角色/权限字段是否指向正确环境。 staging token 打到 production 是常见事故。

05

回到服务端验签

解码只能「看见内容」。合法性必须以服务端密钥/JWKS 验签与权限模型为准。

Notes

使用前留意

  • 解码 ≠ 验签。签名无效或被篡改的 token 仍可能被「解码出」看起来正常的 Payload。
  • 不要把含真实会话的 token 发到公共频道或截图外传。
  • 加密 JWT(JWE)与普通 JWS 形态不同,本工具若仅支持标准三段 JWS,遇 JWE 会失败。
  • alg=none 或弱算法属于安全风险,生产环境应在服务端拒绝。

FAQ

常见问题

为什么 Payload 里的中文是乱码?

少数实现未按 UTF-8 处理声明。先确认生成端编码;也可检查是否其实不是标准 JWT。

能帮我算出签名吗?

解码器不负责用密钥重签。生成与验签应在你的认证服务或专业库中完成,避免在不可信环境暴露密钥。

三段都看见了,为什么服务端仍拒绝?

可能是签名不匹配、过期、aud/iss 不符、token 被吊销或权限不足。解码页只解释内容,不代替鉴权链路。

和 Base64 工具有何区别?

JWT 每段是 Base64URL,且有固定结构与声明语义。通用 Base64 工具不会按 Header/Payload 语义拆分展示。

Download

装进设备,
立刻用上 JWT 解码器

当前 Beta · 1.2607.0522 · Windows / Android