Overview
先看明白,再动手。
JWT 解码器把一段 JWT 拆成 Header、Payload 与签名部分,便于本地查看算法、过期时间、受众等声明。默认做的是 Base64URL 解码与结构化展示,不是「破解签名」或代替服务端验签。粘贴生产环境 token 时请注意:Payload 通常只是编码不是加密,敏感声明仍可能被任何人读到。
Audience
适用人群
调试登录态、网关鉴权与 API 集成的开发者、测试。免费本地工具;安全审计仍需在服务端完成签名校验与权限判定。
Scenarios
什么时候用它
接口 401 时查看 token 是否已过期(exp)或尚未生效(nbf)
确认 iss/aud/sub 等声明是否与当前环境配置一致
核对 Header 中的 alg 与 kid,排查密钥轮换问题
教学演示 JWT 三段结构,而不把 token 贴到不明网站
Highlights
能力亮点
Step by step
使用步骤
粘贴 JWT
复制完整 token(通常三段,用点分隔)。去掉 Bearer 前缀与多余空格、换行。
查看解码结果
阅读 Header(alg、typ、kid 等)与 Payload(业务声明)。确认 JSON 是否可读。
核对时间类声明
对比 exp、iat、nbf 与当前时间。注意时区与秒/毫秒单位,避免误判「已过期」。
对照业务配置
检查 aud、iss、角色/权限字段是否指向正确环境。 staging token 打到 production 是常见事故。
回到服务端验签
解码只能「看见内容」。合法性必须以服务端密钥/JWKS 验签与权限模型为准。
Notes
使用前留意
- 解码 ≠ 验签。签名无效或被篡改的 token 仍可能被「解码出」看起来正常的 Payload。
- 不要把含真实会话的 token 发到公共频道或截图外传。
- 加密 JWT(JWE)与普通 JWS 形态不同,本工具若仅支持标准三段 JWS,遇 JWE 会失败。
- alg=none 或弱算法属于安全风险,生产环境应在服务端拒绝。
FAQ
常见问题
为什么 Payload 里的中文是乱码?
少数实现未按 UTF-8 处理声明。先确认生成端编码;也可检查是否其实不是标准 JWT。
能帮我算出签名吗?
解码器不负责用密钥重签。生成与验签应在你的认证服务或专业库中完成,避免在不可信环境暴露密钥。
三段都看见了,为什么服务端仍拒绝?
可能是签名不匹配、过期、aud/iss 不符、token 被吊销或权限不足。解码页只解释内容,不代替鉴权链路。
和 Base64 工具有何区别?
JWT 每段是 Base64URL,且有固定结构与声明语义。通用 Base64 工具不会按 Header/Payload 语义拆分展示。