JWT 解碼器

JWT（JSON Web Token）解碼是我在調試身份驗證問題、檢查 API 令牌或排查 SSO 集成時幾乎每天都要做的事情。當用戶報告「訪問被拒絕」錯誤時，我做的第一件事就是解碼他們的 JWT 以檢查過期時間、角色和聲明。此工具可立即解碼 JWT，而無需將令牌發送到任何伺服器——在處理生產訪問令牌或客戶憑據時至關重要。它將令牌分為三部分（頭部、負載、簽名），對前兩部分進行 Base64 解碼，並以可讀格式顯示 JSON 內容。簽名會顯示但不驗證——這是一個檢查工具，而不是驗證器。非常適合集成 OAuth2、調試 Auth0/Cognito 令牌或了解基於 JWT 的身份驗證如何工作的開發人員。 ### JWT 結構 JWT 包含由點 (.) 分隔的 3 部分： - **頭部** - 包含令牌類型和簽名算法（例如 HS256、RS256） - **負載（聲明）** - 包含實際數據和聲明 - **簽名** - 驗證令牌未被篡改 解碼器幫助開發人員快速查看負載內容以進行調試，例如查看角色/權限、檢查令牌過期、驗證發行者信息、檢查 API 範圍以及在身份驗證實現期間驗證令牌結構。 ### 使用場景 **1. 調試身份驗證提供商的令牌** - Firebase Auth - Auth0 - AWS Cognito - Supabase - Keycloak **2. 前端開發** 檢查： - claim role=admin 是否存在？ - 用戶投訴時令牌是否已過期？ - 令牌結構是否正確？ **3. 後端開發** 在後端編寫驗證之前驗證負載。 **4. QA / 測試** 在 API 測試期間檢查 API 令牌。 **5. 安全審查（快速檢查）** 檢查簽名算法 (alg) 的安全性： - HS256、RS256、ES256 → ✓ 安全 - NONE → ⚠️ 不安全 **6. 調試 OAuth 2.0 / OpenID Connect** 查看： - `iss` - 發行者 - `aud` - 受眾 - `exp` - 過期時間 - `nonce` - 防重放攻擊 - `azp` - 授權方

使用方式

將 JWT 令牌（格式：xxxxx.yyyyy.zzzzz）貼上到輸入欄位中。該工具會自動將其拆分為頭部、負載和簽名部分。頭部顯示算法（HS256、RS256 等）和令牌類型。負載顯示用戶 ID (sub)、過期時間 (exp)、簽發時間 (iat)、發行者 (iss) 以及您的應用添加的自定義聲明等聲明。過期時間是 Unix 時間戳——該工具可以將其轉換為可讀日期。當 API 返回 401 錯誤時使用此工具檢查令牌是否已過期，在調試授權時驗證角色/權限聲明是否存在，或在學習 JWT 結構時使用。 ### 使用方法 1. 複製您的 JWT 令牌 2. 貼上到輸入欄位 3. 工具自動分離頭部、負載和簽名 4. 查看解碼結果：JSON + 聲明細分 5. 如需要，使用複製/匯出按鈕

限制與重要提示

⚠️ **重要**：此工具僅解碼令牌，不驗證簽名！ 此工具僅解碼 JWT——不驗證簽名或驗證令牌。解碼後的令牌顯示有效聲明並不意味著令牌是真實的；攻擊者可以製作具有虛假聲明的令牌。始終使用您的密鑰或公鑰（用於 RS256）在伺服器端驗證簽名。該工具適用於標準 JWT 格式（Base64URL 編碼中的 header.payload.signature）。它不處理加密的 JWT (JWE) 或嵌套令牌。如果您的令牌包含二進制數據或非標準編碼，解碼可能會失敗。對於代碼中的自動令牌驗證，請使用適當的 JWT 函式庫，如 jsonwebtoken (Node.js)、PyJWT (Python) 或 jose4j (Java)。安全提示：不要將敏感的生產令牌貼上到您不信任的線上工具中——此工具在客戶端運行，但始終在 DevTools 網路選項卡中驗證沒有任何內容被上傳。