安全與編碼不儲存或傳輸資料到伺服器

JWT 解碼器

解碼 JWT 令牌

JWT 權杖

貼上 JWT 權杖以立即解碼。

貼上 JWT 權杖以立即解碼。

關於此工具

JWT(JSON Web Token)解碼是我在調試身份驗證問題、檢查 API 令牌或排查 SSO 集成時幾乎每天都要做的事情。當用戶報告「訪問被拒絕」錯誤時,我做的第一件事就是解碼他們的 JWT 以檢查過期時間、角色和聲明。此工具可立即解碼 JWT,而無需將令牌發送到任何伺服器——在處理生產訪問令牌或客戶憑據時至關重要。它將令牌分為三部分(頭部、負載、簽名),對前兩部分進行 Base64 解碼,並以可讀格式顯示 JSON 內容。簽名會顯示但不驗證——這是一個檢查工具,而不是驗證器。非常適合集成 OAuth2、調試 Auth0/Cognito 令牌或了解基於 JWT 的身份驗證如何工作的開發人員。 ### JWT 結構 JWT 包含由點 (.) 分隔的 3 部分:

  • 頭部 - 包含令牌類型和簽名算法(例如 HS256、RS256)
  • 負載(聲明) - 包含實際數據和聲明
  • 簽名 - 驗證令牌未被篡改

解碼器幫助開發人員快速查看負載內容以進行調試,例如查看角色/權限、檢查令牌過期、驗證發行者信息、檢查 API 範圍以及在身份驗證實現期間驗證令牌結構。 ### 使用場景 1. 調試身份驗證提供商的令牌

  • Firebase Auth
  • Auth0
  • AWS Cognito
  • Supabase
  • Keycloak

2. 前端開發 檢查:

  • claim role=admin 是否存在?
  • 用戶投訴時令牌是否已過期?
  • 令牌結構是否正確?

3. 後端開發 在後端編寫驗證之前驗證負載。 4. QA / 測試 在 API 測試期間檢查 API 令牌。 5. 安全審查(快速檢查) 檢查簽名算法 (alg) 的安全性:

  • HS256、RS256、ES256 → ✓ 安全
  • NONE → ⚠️ 不安全

6. 調試 OAuth 2.0 / OpenID Connect 查看:

  • `iss` - 發行者
  • `aud` - 受眾
  • `exp` - 過期時間
  • `nonce` - 防重放攻擊
  • `azp` - 授權方
使用方式

將 JWT 令牌(格式:xxxxx.yyyyy.zzzzz)貼上到輸入欄位中。該工具會自動將其拆分為頭部、負載和簽名部分。頭部顯示算法(HS256、RS256 等)和令牌類型。負載顯示用戶 ID (sub)、過期時間 (exp)、簽發時間 (iat)、發行者 (iss) 以及您的應用添加的自定義聲明等聲明。過期時間是 Unix 時間戳——該工具可以將其轉換為可讀日期。當 API 返回 401 錯誤時使用此工具檢查令牌是否已過期,在調試授權時驗證角色/權限聲明是否存在,或在學習 JWT 結構時使用。 ### 使用方法

  1. 1.複製您的 JWT 令牌
  2. 2.貼上到輸入欄位
  3. 3.工具自動分離頭部、負載和簽名
  4. 4.查看解碼結果:JSON + 聲明細分
  5. 5.如需要,使用複製/匯出按鈕
限制與重要提示

⚠️ 重要:此工具僅解碼令牌,不驗證簽名! 此工具僅解碼 JWT——不驗證簽名或驗證令牌。解碼後的令牌顯示有效聲明並不意味著令牌是真實的;攻擊者可以製作具有虛假聲明的令牌。始終使用您的密鑰或公鑰(用於 RS256)在伺服器端驗證簽名。該工具適用於標準 JWT 格式(Base64URL 編碼中的 header.payload.signature)。它不處理加密的 JWT (JWE) 或嵌套令牌。如果您的令牌包含二進制數據或非標準編碼,解碼可能會失敗。對於代碼中的自動令牌驗證,請使用適當的 JWT 函式庫,如 jsonwebtoken (Node.js)、PyJWT (Python) 或 jose4j (Java)。安全提示:不要將敏感的生產令牌貼上到您不信任的線上工具中——此工具在客戶端運行,但始終在 DevTools 網路選項卡中驗證沒有任何內容被上傳。