标头 (Header)
包含令牌元数据:签名算法 (alg) 和令牌类型 (typ)。使用 Base64URL 编码。
JWT解码器
解码 JSON Web Tokens (JWT) 以查看标头和负载声明,无需验证签名。可视化令牌结构,分析声明,检查过期时间,并轻松调试身份验证问题。100% 客户端处理,保障隐私。
JWT解码器
🚀 尝试这些 JWT 示例:
📐 JWT 结构解剖
负载 (Payload)
包含声明(用户数据、权限、过期时间)。同样经过 Base64URL 编码。并未加密!
签名 (Signature)
标头 + 负载 + 密钥 + 算法的加密哈希。用于验证令牌完整性。
请支持 MiniWebtool
检测到广告拦截,导致我们无法展示广告
MiniWebtool 依靠广告收入免费提供服务。如果这个工具帮到了你,欢迎开通 Premium(无广告 + 更快),或将 MiniWebtool.com 加入白名单后刷新页面。
- 或升级 Premium(无广告)
- 允许 MiniWebtool.com 显示广告,然后刷新
JWT解码器
欢迎使用 jwt解码器,这是一款强大的在线工具,供开发人员即时解码和检查 JSON Web Tokens (JWT)。无论您是在调试身份验证问题、验证令牌声明,还是学习 JWT 结构,此工具都能提供清晰的、经过颜色编码的令牌组件可视化,且无需将任何数据发送到外部服务器。
什么是 JSON Web Token (JWT)?
JSON Web Token (JWT,发音同 "jot") 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方法,用于在各方之间以 JSON 对象的形式安全地传输信息。JWT 广泛用于:
- 身份验证: 用户登录后,后续的每个请求都会包含 JWT,从而允许访问该令牌许可的路由、服务和资源。
- 信息交换: JWT 可以安全地在各方之间传输信息,因为它们可以使用密钥 (HMAC) 或公钥/私钥对 (RSA, ECDSA) 进行签名。
- 授权: 服务器可以验证令牌声明来确定用户权限,而无需为每个请求查询数据库。
JWT 结构详解
JWT 由三个由点 (.) 分隔的部分组成:
1. 标头 (红色)
标头通常包含两部分信息:
alg:使用的签名算法(例如 HS256、RS256、ES256)typ:令牌类型,始终为 "JWT"
2. 负载 (紫色)
负载包含声明 - 即有关用户和附加元数据的声明。声明有三种类型:
- 注册声明: 预定义的声明,如
iss(签发者)、exp(过期时间)、sub(主题)、aud(受众) - 公共声明: 在 IANA JSON Web Token 注册表中注册或定义为 URI 的自定义声明
- 私有声明: 各方之间约定的自定义声明(例如
user_id、role)
3. 签名 (蓝色)
签名是通过将编码后的标头、编码后的负载、密钥以及标头中指定的算法组合而成的。它确保令牌未被篡改。
常用 JWT 声明参考
| 声明 | 名称 | 描述 |
|---|---|---|
iss |
签发者 (Issuer) | 标识谁签发了该 JWT(例如您的身份验证服务器 URL) |
sub |
主题 (Subject) | 标识 JWT 的主体(通常是用户 ID 或电子邮件) |
aud |
受众 (Audience) | 标识 JWT 预期的接收者 |
exp |
过期时间 (Expiration Time) | JWT 不再有效的 Unix 时间戳 |
nbf |
不早于 (Not Before) | JWT 开始生效前的 Unix 时间戳 |
iat |
签发时间 (Issued At) | JWT 签发时的 Unix 时间戳 |
jti |
JWT ID | JWT 的唯一标识符(用于防止重放攻击) |
JWT 签名算法
对称算法 (HMAC)
HS256:使用 SHA-256 的 HMAC - 签名和验证使用相同的密钥HS384:使用 SHA-384 的 HMACHS512:使用 SHA-512 的 HMAC
非对称算法 (RSA/ECDSA)
RS256:带有 SHA-256 的 RSA 签名 - 私钥签名,公钥验证RS384:带有 SHA-384 的 RSA 签名RS512:带有 SHA-512 的 RSA 签名ES256:使用 P-256 曲线和 SHA-256 的 ECDSAES384:使用 P-384 曲线和 SHA-384 的 ECDSAES512:使用 P-521 曲线和 SHA-512 的 ECDSA
安全考虑
解码与验证
重要提示: 此工具仅解码 JWT,但不验证它们。解码只是展示 Base64URL 编码的内容,而验证需要密钥来校验签名。在没有经过服务器端签名验证之前,切勿信任解码后的数据。
最佳实践
- 务必在服务器端验证签名,然后再信任任何声明
- 使用较短的过期时间 (
exp) - 访问令牌通常为 15 分钟到 1 小时 - 不要在负载中存储敏感数据 - 它是经过编码的,但并未加密
- 使用 HTTPS 以防止令牌在传输过程中被拦截
- 验证受众 (
aud) 声明以防止令牌被滥用 - 在分布式系统中使用非对称算法 (RS256, ES256),以便多个服务可以验证令牌
隐私与安全
此 jwt解码器 完全在您的浏览器中运行:
- 无服务器传输: 您的 JWT 绝不会发送到任何服务器
- 客户端处理: 所有解码操作均在您浏览器的 JavaScript 中完成
- 无数据存储: 我们不存储、记录或跟踪您的令牌
- 开源逻辑: 您可以在浏览器的开发人员工具中检查解码逻辑
常见问题解答
什么是 JWT (JSON Web Token)?
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),用于在各方之间以 JSON 对象的形式安全地传输信息。JWT 通常用于 Web 应用程序中的身份验证和授权。JWT 由三部分组成:标头(算法和令牌类型)、负载(声明/数据)和签名(验证)。
在浏览器中解码 JWT 安全吗?
是的,在浏览器中解码 JWT 是安全的,因为标头和负载只是 Base64URL 编码,而不是加密。但是,请记住解码并不代表验证令牌的签名。在没有经过适当的服务器端签名验证之前,切勿信任解码后的数据。此工具完全在您的浏览器中解码令牌 - 不会将任何数据发送到任何服务器。
JWT 的不同部分代表什么意思?
JWT 有三个由点分隔的部分:1) 标头 - 包含算法 (alg) 和令牌类型 (typ),通常使用 HS256 或 RS256 进行签名。2) 负载 - 包含声明,即有关用户和附加数据(如过期时间 (exp)、发布时间 (iat)、主题 (sub) 等)的声明。3) 签名 - 通过使用密钥对标头和负载进行签名创建,用于验证令牌未被篡改。
为什么我不能用这个工具验证签名?
签名验证需要密钥(对于 HS256 等对称算法)或公钥(对于 RS256 等非对称算法)。由于此工具出于隐私考虑完全在您的浏览器中运行,因此它无法访问您服务器的密钥。要验证签名,请使用服务器端库,如 jsonwebtoken (Node.js)、PyJWT (Python) 或 jwt-go (Go)。
常见的 JWT 声明有哪些?
常见的注册声明包括:iss (签发者)、sub (主题)、aud (受众)、exp (过期时间)、nbf (不早于)、iat (签发时间) 和 jti (JWT ID)。自定义声明可以包括 user_id、email、角色、权限或任何应用程序特定的数据。基于时间的声明 (exp, nbf, iat) 都是 Unix 时间戳。
其他资源
引用此内容、页面或工具为:
"JWT解码器" 于 https://MiniWebtool.com/zh-cn//,来自 MiniWebtool,https://MiniWebtool.com/
由 miniwebtool 团队提供。更新日期:2026年2月3日