智威汤逊解码器
标头、有效负载和过期时间离线解码 - 令牌永远不会离开您的浏览器。
Header
Payload
Signature (base64url — verify server-side)
粘贴令牌,查看所有内容:解码的标头和有效负载、转换为具有相对年龄的本地时区的每个时间声明、不可错过的 EXPIRED 徽章以及安全警告(如果令牌使用危险的 none 算法)。解码完全在您的设备上进行 - 打开 DevTools 并观察:零网络请求。测试token所属的API?我们的 cURL 到代码转换器就在隔壁。
常见问题解答
在这里粘贴真实的 JWT 安全吗?
该令牌完全在您的浏览器中解码 - 不发出网络请求,不记录或存储任何内容,并且页面加载后可以离线工作。也就是说,将生产令牌视为密码作为一种习惯:在任何在线工具中进行调试时更喜欢过期或暂存令牌。
JWT 里面到底有什么?
由点分隔的三个 base64url 部分:标头(算法 + 类型)、有效负载(您的声明 - 用户 ID、角色、到期日)和签名。前两个只是编码,而不是加密 - 任何拥有令牌的人都可以读取它们,这正是该解码器所显示的。
这可以验证签名吗?
否 - 验证需要密钥或公钥,切勿将其粘贴到网页中。该工具解码并检查声明(调试95%);使用框架的 JWT 库在服务器端验证签名。
为什么 alg=none 标记为红色?
臭名昭著的“无算法”攻击:如果标头声明无算法,一些旧库就会接受未签名的令牌,从而使攻击者可以伪造任何身份。服务器必须彻底拒绝此类令牌 - 红旗提醒您检查您的令牌。
exp、iat 和 nbf 是什么意思?
控制有效性的 Unix 时间戳:iat = 发布时,nbf = 之前无效,exp = 到期。解码器将每个时间转换为您的当地时间并附有相关描述(“2 小时前”),并在相关时显示清晰的“过期”徽章。