JWT 在线解码工具
本地解析 JWT 的 Header / Payload / Signature,快速查看过期时间与声明内容。
JWT(通常由三段构成:`header.payload.signature`) 是 JSON Web Tokens 的缩写,是目前常用的跨域认证解决方案, 也是一个开放标准(RFC 7519),用于在各方之间以 JSON 对象安全传输信息。
JWT 包含认证信息,请妥善保管!本工具不记录和存储你的 JWT 信息, 所有验证和调试都在客户端本地完成。
Header
Payload
Signature(签名)
功能使用
1. 粘贴 JWT 字符串(通常由三段构成:`header.payload.signature`)。
2. 点击“开始解码”,即可查看 Header、Payload 和 Signature。
3. 若 Payload 含 `exp / iat / nbf`,会自动展示时间信息与有效状态。
4. 点击“复制结果”可复制当前解码内容,便于排查登录和鉴权问题。
JWT 详解与使用场景
JWT(JSON Web Token)是一种基于 JSON 的令牌标准,常用于登录后身份传递。 其核心优势是“无状态认证”:服务端无需存会话,也能通过验签识别用户身份。
JWT 由三部分组成:Header(算法信息)、Payload(业务声明)和 Signature(签名)。 其中 Signature 用于防篡改,任何对 Header/Payload 的修改都会导致验签失败。
Payload 中常见的官方字段(可按需选用)包括:
- `iss (Issuer)`:签发者
- `sub (Subject)`:主题
- `aud (Audience)`:接收者
- `exp (Expiration time)`:过期时间
- `nbf (Not Before)`:生效时间
- `iat (Issued At)`:签发时间
- `jti (JWT ID)`:编号
常见场景包括:Web 登录鉴权、移动端 API 授权、微服务网关鉴权、单点登录(SSO)、 第三方系统之间的短期身份票据传递等。
安全建议:不要在 Payload 放敏感明文;设置合理的过期时间(exp); 使用强密钥并定期轮换;生产环境全程使用 HTTPS 传输令牌。
常见问题 FAQ
JWT 解码后为什么能看到数据?
JWT 的 Header 和 Payload 只是 Base64URL 编码,不是加密,任何人都可解码查看。
解码成功就代表 token 一定有效吗?
不一定。还需要服务端验签、校验过期时间和业务上下文。
exp、iat、nbf 分别是什么意思?
exp 是过期时间,iat 是签发时间,nbf 是生效时间(在该时间前不可用)。
可以把密码等敏感信息放在 Payload 吗?
不建议。Payload 可被解码查看,敏感数据应加密存储或只放引用 ID。