JWT 解析器
解码 JSON Web Token
在线JWT解析工具
免费在线JWT Token解码解析工具。粘贴JWT即可查看Header、Payload载荷数据,自动检测过期状态,解析标准声明字段。完全本地处理。
即时解析
粘贴JWT Token后实时解码。同时显示Header头部和Payload载荷的完整JSON数据,格式化输出易于阅读。
过期检测
自动读取exp/iat等时间声明,判断Token是否已过期。以本地时区显示签发时间和过期时间,一目了然。
安全本地解析
JWT解码仅使用Base64URL解码,不需要密钥。所有操作在浏览器本地完成,Token不会发送至任何服务器。
JWT Token 详解
深入了解JWT的结构、标准声明和签名算法。
Header 头部
Base64URL编码
包含令牌类型(typ)和签名算法(alg)。常见算法:HS256(HMAC-SHA256对称签名)、RS256(RSA非对称签名)、ES256(ECDSA椭圆曲线签名)。
Payload 载荷
Claims 声明
包含声明(Claims)数据。标准声明包括:sub(主题)、iss(签发者)、aud(接收方)、exp(过期时间)、iat(签发时间)、jti(唯一ID)。
Signature 签名
HMAC或RSA
用Header指定的算法对Header+Payload进行签名。HS256使用共享密钥,RS256使用私钥签名、公钥验证。签名确保Token未被篡改。
标准声明
Registered Claims
exp(过期时间)、iat(签发时间)、nbf(生效时间)使用Unix时间戳。sub(主题)通常是用户ID。iss(签发者)标识签发服务。jti(JWT ID)用于防重放。
HS256 vs RS256
对称 vs 非对称
HS256使用单个密钥,签发和验证方需共享密钥,适合单服务。RS256使用公私钥对,私钥签发、公钥验证,适合分布式微服务架构。
JWS vs JWE
签名 vs 加密
JWT通常指JWS(签名),Payload可被任何人解码查看。JWE(加密)会加密Payload内容。注意:JWT不加密数据,不要在Payload中放敏感信息。
应用场景
API调试
开发API时快速查看JWT中的用户信息、权限、过期时间等,方便调试认证问题。
安全审计
检查JWT的签名算法、过期策略、声明内容是否符合安全规范,排查认证安全隐患。
微服务开发
分布式系统中检查JWT在各服务间传递的内容,验证用户身份和权限声明是否正确。
OAuth调试
调试OAuth 2.0/OIDC流程时,解析access_token和id_token,查看授权范围和用户信息。
JWT 专业知识
JWT 不是加密
JWT的Header和Payload仅做Base64URL编码,任何人都能解码查看。不要在Payload中存放密码、信用卡等敏感信息。如果需要加密,应使用JWE(JSON Web Encryption)。
Token 存储安全
前端存储JWT的推荐方式:HttpOnly Cookie(防XSS)> 内存变量(刷新丢失)> localStorage(有XSS风险)。避免将Token放在URL参数中,会被日志记录和Referer泄露。
刷新令牌机制
Access Token设短过期(如15分钟),搭配长期的Refresh Token。Access Token过期后用Refresh Token获取新的。Refresh Token应存于HttpOnly Cookie,并支持吊销。
JWT vs Session
JWT:无状态、可扩展、适合分布式。Session:服务端存储、可即时吊销、适合单体。JWT的劣势是无法主动吊销(除非维护黑名单),且Payload数据会增大每次请求体积。
常见问题
Q.JWT解码需要密钥吗?
不需要。JWT的Header和Payload使用Base64URL编码,任何人都能解码查看内容。密钥只在签名验证时需要。本工具只做解码查看,不做签名验证。
Q.JWT Token安全吗?能被篡改吗?
JWT的安全性依赖签名。虽然Payload可被查看,但如果被篡改,签名验证会失败。所以不要在Payload中放敏感信息(如密码),因为内容是可读的。
Q.JWT过期了还能解码吗?
可以。过期只影响Token的有效性,不影响解码。exp字段只是一个Unix时间戳声明,由服务端在验证时检查。本工具会标注Token是否已过期。
Q.在线解析JWT安全吗?
完全安全。本工具使用浏览器本地的Base64解码,JWT不会发送到任何服务器。即使断网也能正常解析。但请注意,JWT虽然可以安全解码查看,但不要将生产环境的密钥泄露。