安全

概览

JWT 预览与解码

即时解码并查看 JWT Token 的内容，查看负载数据与过期状态。

是什么如何使用使用示例常见使用场景常见问题

分类 hub

安全

问题

FAQ

快速跳转

查看 Hub

#json-web-token #troubleshooting #authentication #validation #inspector

Paste your JWT token

Expires in 3117d 22m

2034-12-17T20:26:40.000Z

Header

alg: HS256 · typ: JWT

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

5 claims

{
  "sub": "user_123",
  "name": "Alice",
  "email": "alice@example.com",
  "iat": 1704067200,
  "exp": 2050000000
}

Signature

Cannot be verified client-side without the secret key

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

可以解决的问题

如何解码 JWT 令牌？

使用此 JWT 解码工具，您可以即时在线解码。只需粘贴令牌，工具就会自动解析 Base64URL 编码的头部和负载。

如何检查 JWT 的头部和负载？

JWT 由三部分组成。本工具会自动将它们分离，并以易于阅读的格式化 JSON 形式展示，方便您检查其中的算法信息和业务声明。

如何检查 JWT 是否过期？

解码负载中的 `exp` 声明即可。本工具会自动提取该字段，并将其转换为您本地时间的易读日期格式。

如何验证 JWT 结构是否正确？

确保令牌由三个点分隔的部分组成，并且每个部分都能被正确地 Base64URL 解码。

如何利用 JWT 排查身份验证问题？

首先检查令牌是否过期，其次检查 `sub` (主题) 或权限声明是否与预期一致，最后确认服务端使用的签名算法是否匹配。

什么是 Base64URL 解码？

JWT 使用 Base64URL 编码以确保在 URL 中传输安全。它将标准 Base64 中的 '+' 替换为 '-'，将 '/' 替换为 '_'。本工具内置了对此格式的支持。

典型使用流程

Base64 Encoder / Decoder URL DecoderJWT 预览与解码Base64 Encoder / Decoder

该工作流相关指南

Supporting guides that connect this tool to the broader category workflow.

打开分类 hub

安全 guide

JWT 调试清单：声明、过期时间、签名与常见错误

一份实用的 JWT 故障排查指南，涵盖了声明检查、过期检查、令牌结构以及相关的认证调试步骤。

安全 guide

安全工具中心：JWT、UUID、密码与令牌实用工具工作流

关于 JWT 解码、UUID 生成、密码生成以及与安全相关的开发者工具指南。

Web guide

400、401、403、422：实用的 API 错误排查流程

帮助你区分请求格式错误、认证失败、权限不足和校验失败，避免团队在 API 排障时修错方向。

Web guide

为什么 Access-Control-Allow-Origin 为 * 时会在 credentials 模式下失败

从浏览器执行规则出发，解释为什么当前端发送 cookies 或带凭证请求时，`Access-Control-Allow-Origin: *` 会直接触发 CORS 阻止。

是什么

JWT 预览与解码是什么

JWT 预览与解码工具是一个简单而强大的在线工具，旨在帮助开发者和安全专业人员快速了解 JSON Web Token (JWT) 的内容。只需粘贴一个 Token，您就可以立即看到其解码后的 Header 和负载数据 (Payload)，以及关键的过期信息。该工具简化了各种应用程序中 JWT 的调试和验证。

如何使用

如何使用JWT 预览与解码

将完整的 JWT 字符串粘贴到输入框中。工具会自动使用 Base64URL 解码 Header 和 Payload，并将其显示为格式化的 JSON。您可以分别复制每个解码部分，检查 Token 的过期状态，并验证其结构是否遵循标准的三部分 JWT 格式。

使用示例

输入：
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjI1MjQ2MDgwMDB9.someSignatureHere

输出 (解码后的 Header)：
{
  "alg": "HS256",
  "typ": "JWT"
}

输出 (解码后的 Payload)：
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 2524608000
}

过期状态：
有效 (还有 X 天过期) — 将于 2049年12月31日 12:00 AM 过期

常见使用场景

1. 通过检查令牌内容来调试身份验证问题。

2. 验证身份提供者生成的声明 (Claims) 和元数据。

3. 检查令牌过期时间以了解其有效期。

4. 在安全审计期间分析 JWT 结构。

5. 从令牌中提取用户信息（如用户 ID、角色）。

6. 通过观察解码后的组件来学习 JWT 结构。

常见问题

什么是 JWT？v

JWT (JSON Web Token) 是一种紧凑的、URL 安全的方式，用于表示两方之间的声明。它由头部 (Header)、负载数据 (Payload) 和签名 (Signature) 组成，各部分之间用点 (.) 分隔。

此工具对于敏感的 JWT 安全吗？v

安全。所有解码操作都完全在您的浏览器中使用客户端 JavaScript 完成。您的令牌永远不会被传输到任何服务器。对于高度敏感的生产令牌，请考虑在受信任的环境中使用离线工具。

为什么我会收到“无效的 JWT 格式”错误？v

当输入内容不包含恰合三个由点分隔的部分 (header.payload.signature)，或者头部/负载部分不是有效的 Base64URL 编码字符串时，会出现此错误。

此工具会验证签名吗？v

不会。此工具仅专注于解码和结构检查。验证签名需要密钥或公钥，应在您的应用程序或安全环境中执行。