Command Palette

Search for a command to run...

JWT

JWT 解码器

在本地解码 JSON Web Token (JWT)。

JWT Token
Paste your JWT here

What

JWT 解码器 定义

JWT(JSON Web Token) 是由头部/负载/签名组成的紧凑令牌,本工具可解码其内容。

Cases

常见使用场景

1

查看签发者或过期时间等声明

2

排查认证问题

3

验证前检查令牌结构

How To

如何解码 JWT

查看 JWT 头部与载荷的分步指南。

1

粘贴 JWT

将 JWT 字符串粘贴到输入框。

2

查看结构

头部和载荷会显示为 JSON。

3

检查声明

检查 exp/iat/sub 等声明。

Knowledge

了解 JSON Web Tokens

什么是 JWT?
JSON Web Token (JWT) 是一种紧凑且 URL 安全的方式,用于在双方之间表示声明。它通常用于 Web 应用程序和 API 中的身份验证和信息交换。
JWT 结构
JWT 由三个由点分隔的部分组成:Header(算法和令牌类型)、Payload(声明/数据)和 Signature(验证)。每个部分都经过 Base64URL 编码。签名确保令牌未被篡改。
常用 JWT 声明
标准声明包括:iss(签发者)、sub(主题)、aud(受众)、exp(过期时间)、iat(签发时间)、nbf(生效时间)和 jti (JWT ID)。可以添加自定义声明来处理特定于应用程序的数据。
JWT 签名算法
常用的算法包括 HS256(带 SHA-256 的 HMAC,对称)和 RS256(带 SHA-256 的 RSA,非对称)。非对称算法允许在不共享私有签名密钥的情况下进行公钥验证。
JWT 安全性考虑
切勿在 JWT 负载中存储敏感数据(它们只是编码,而非加密)。始终在服务器端验证签名。使用较短的过期时间。切勿在生产环境中使用“none”算法。

FAQ

JWT 解码器常见问题

这个解码器做什么?
在本地对头部和负载进行 Base64 解码,无需密钥。
解码等于验证签名吗?
不等于。验证需要服务器上的签名密钥,这里只展示结构。
JWT 通常用在哪里?
Authorization Bearer 令牌、API 会话、含 exp/nbf 的短期访问/刷新流程等。
如何安全地检查过期?
读取 exp/nbf 声明并与当前 UTC 时间比较;没有 exp 的令牌视为长周期令牌,需定期轮换。
JWT 是如何诞生的?
JWT 在 2015 年成为 IETF 标准(RFC 7519),用于通过 JSON 和签名在各方之间安全共享声明。
现在 JWT 有多普及?
JWT 因其紧凑且与语言无关,被广泛用于 Web 认证、移动 API 和微服务。
JWT 的常见用例有哪些?
Bearer 令牌、SSO 会话传递、临时下载链接以及跨服务传递用户元数据。
维护 JWT 的建议?
设置短期过期时间,轮换签名密钥,固定算法(避免 none),保持负载小以减少带宽和暴露。
JWT 解码器