JWT 解码器
粘贴任何 JSON Web Token 即可立即解码头部、负载和声明。一目了然地查看过期日期和令牌详情。
解码 JWT
粘贴 JWT 令牌
在上方粘贴 JWT 令牌以解码
什么是 JSON Web Token (JWT)?
JSON Web Token (JWT) 是一种紧凑、URL 安全的方式,用于在两方之间传输声明。JWT 广泛用于 Web 应用的身份验证和授权。当用户登录时,服务器创建包含用户身份和权限的 JWT,客户端在后续请求中包含此令牌。
JWT 的三个部分
JWT 由三个 Base64 编码的部分组成,用点分隔(xxxxx.yyyyy.zzzzz):
头部:包含令牌类型(JWT)和签名算法(如 HS256、RS256)。
负载:包含声明 — 关于用户和其他元数据的陈述。标准声明包括 sub(主题)、iss(发行者)、exp(过期时间)、iat(签发时间)和 aud(受众)。
签名:通过使用密钥对头部和负载进行签名创建。这确保令牌未被篡改。验证需要密钥或公钥。
JWT 声明说明
exp(过期时间):Unix 时间戳,超过该时间后令牌不再有效。服务器应拒绝过期令牌。
iat(签发时间):令牌创建时的 Unix 时间戳。
nbf(生效时间):在此时间戳之前不应接受令牌。
sub(主题):通常是令牌代表的用户 ID 或用户名。
iss(发行者):标识令牌的发行者(如您的认证服务器)。
安全注意事项
JWT 负载是 Base64 编码的,不是加密的。任何人都可以解码并读取内容。切勿在 JWT 负载中存储敏感数据(密码、信用卡号)。签名仅确保完整性(数据未被修改),而非机密性(数据被隐藏)。
常见问题
- 什么是 JWT 令牌?
- JWT 是一种紧凑的令牌格式,包含三个部分:头部(算法)、负载(声明/数据)和签名(验证)。广泛用于 Web 应用和 API 的身份验证。
- 如何解码 JWT?
- 将 JWT 粘贴到此工具中。头部和负载是 Base64 编码的 JSON — 不需要密钥即可读取。只有签名验证需要密钥。
- JWT 的负载是什么?
- 负载包含声明 — 如用户 ID(
sub)、过期时间(exp)、发行者(iss)以及服务器包含的任何自定义数据。 - 如何检查 JWT 是否过期?
- 解码 JWT 并检查
exp声明。如果当前时间超过exp时间戳,则令牌已过期。此工具会用红色高亮显示过期令牌。 - 在线解码 JWT 安全吗?
- 此工具完全在您的浏览器中运行 — 无数据发送到任何服务器。但请避免将包含真实用户数据的生产令牌粘贴到不受信任的工具中。