標頭 (Header)
包含令牌元數據:簽名演算法 (alg) 和令牌類型 (typ)。使用 Base64URL 編碼。
JWT解碼器
解碼 JSON Web Tokens (JWT) 以查看標頭與有效負載宣告,無需驗證簽名。可視化令牌結構、分析宣告、檢查過期時間並輕鬆調試身份驗證問題。100% 用戶端處理以保護隱私。
JWT解碼器
🚀 試試這些範例 JWT:
📐 JWT 結構解剖
負載 (Payload)
包含聲明(使用者數據、權限、過期時間)。同樣使用 Base64URL 編碼。注意:未加密!
簽名 (Signature)
標頭 + 負載 + 密鑰的加密雜湊。用於驗證令牌的完整性。
請支持 MiniWebtool
偵測到廣告封鎖,導致我們無法顯示廣告
MiniWebtool 依靠廣告收入免費提供服務。如果這個工具幫到你,歡迎升級 Premium(無廣告 + 更快),或將 MiniWebtool.com 加入允許清單後重新整理頁面。
- 或升級 Premium(無廣告)
- 允許 MiniWebtool.com 顯示廣告,然後重新載入
JWT解碼器
歡迎使用 JWT解碼器,這是一款專為開發者設計的強大線上工具,可立即解碼和檢查 JSON Web Tokens (JWTs)。無論您是在調試身分驗證問題、驗證令牌聲明,還是學習 JWT 結構,此工具都能提供清晰的顏色編碼視覺化,顯示所有令牌組件,且不會將任何數據發送到外部伺服器。
什麼是 JSON Web Token (JWT)?
JSON Web Token (JWT) 是一種開放標準 (RFC 7519),定義了一種緊湊且自包含的方法,用於在各方之間以 JSON 物件的形式安全地傳輸資訊。JWT 被廣泛用於:
- 身分驗證: 使用者登入後,後續的每個請求都包含一個 JWT,允許訪問該令牌許可的路徑、服務和資源。
- 資訊交換: JWT 可以安全地在各方之間傳輸資訊,因為它們可以使用密鑰 (HMAC) 或公鑰/私鑰對 (RSA, ECDSA) 進行簽名。
- 授權: 伺服器可以驗證令牌聲明,以確定使用者權限,而無需為每個請求查詢資料庫。
JWT 結構詳解
一個 JWT 由三個由點 (.) 分隔的部分組成:
1. 標頭 (紅色)
標頭通常包含兩部分資訊:
alg:使用的簽名演算法 (例如:HS256, RS256, ES256)typ:令牌類型,始終為 "JWT"
2. 負載 (紫色)
負載包含聲明 (Claims) —— 關於使用者和額外元數據的陳述。聲明有三種類型:
- 註冊聲明: 預定義的聲明,如
iss(簽發者)、exp(過期時間)、sub(主體)、aud(受眾) - 公開聲明: 在 IANA JSON Web Token 註冊表中註冊或定義為 URI 的自定義聲明
- 私有聲明: 各方之間商定的自定義聲明 (例如:
user_id,role)
3. 簽名 (藍色)
簽名是通過結合編碼後的標頭、編碼後的負載、密鑰以及標頭中指定的演算法創建的。它確保令牌未被篡改。
常見 JWT 聲明參考
| 聲明 (Claim) | 名稱 | 描述 |
|---|---|---|
iss |
簽發者 (Issuer) | 識別誰簽發了該 JWT (例如:您的驗證伺服器 URL) |
sub |
主體 (Subject) | 識別 JWT 的主體 (通常是使用者 ID 或電子郵件) |
aud |
受眾 (Audience) | 識別該 JWT 預期提供給哪些接收者 |
exp |
過期時間 | Unix 時間戳,在此時間之後 JWT 不再有效 |
nbf |
不早於 (Not Before) | Unix 時間戳,在此時間之前 JWT 無效 |
iat |
簽發時間 (Issued At) | JWT 被簽發時的 Unix 時間戳 |
jti |
JWT ID | JWT 的唯一識別碼 (對於防止重放攻擊非常有用) |
JWT 簽名演算法
對稱演算法 (HMAC)
HS256:使用 SHA-256 的 HMAC - 簽名和驗證使用相同的密鑰HS384:使用 SHA-384 的 HMACHS512:使用 SHA-512 的 HMAC
非對稱演算法 (RSA/ECDSA)
RS256:使用 SHA-256 的 RSA 簽名 - 私鑰簽名,公鑰驗證RS384:使用 SHA-384 的 RSA 簽名RS512:使用 SHA-512 的 RSA 簽名ES256:使用 P-256 曲線和 SHA-256 的 ECDSAES384:使用 P-384 曲線和 SHA-384 的 ECDSAES512:使用 P-521 曲線和 SHA-512 的 ECDSA
安全考量
解碼 vs 驗證
重要提示: 此工具是解碼 JWT,而不是驗證它們。解碼只是顯示 Base64URL 編碼的內容,而驗證則需要密鑰來驗證簽名。在沒有伺服器端簽名驗證的情況下,切勿信任解碼後的數據。
最佳實踐
- 務必在伺服器端驗證簽名,然後再信任任何聲明
- 使用較短的過期時間 (
exp) - 訪問權限令牌通常為 15 分鐘到 1 小時 - 不要在負載中儲存敏感數據 - 它是經過編碼的,而非加密
- 使用 HTTPS 以防止令牌在傳輸過程中被截獲
- 驗證受眾 (
aud) 聲明,以防止令牌被誤用 - 在分散式系統中使用非對稱演算法 (RS256, ES256),以便多個服務可以驗證令牌
隱私與安全
此 JWT解碼器 完全在您的瀏覽器中運行:
- 無伺服器傳輸: 您的 JWT 永遠不會發送到任何伺服器
- 用戶端處理: 所有解碼都在您瀏覽器的 JavaScript 中完成
- 無數據儲存: 我們不儲存、記錄或追蹤您的令牌
- 開源邏輯: 您可以在瀏覽器的開發者工具中檢查解碼邏輯
常見問題
什麼是 JWT (JSON Web Token)?
JSON Web Token (JWT) 是一種開放標準 (RFC 7519),用於在各方之間以 JSON 物件的形式安全地傳輸資訊。JWT 通常用於 Web 應用程式中的身分驗證和授權。一個 JWT 由三部分組成:標頭 (演算法和令牌類型)、負載 (聲明/數據) 和簽名 (驗證)。
在瀏覽器中解碼 JWT 安全嗎?
是的,在瀏覽器中解碼 JWT 是安全的,因為標頭和負載只是經過 Base64URL 編碼,而不是加密。但是,請記住解碼並不等於驗證令牌的簽名。在沒有適當的伺服器端簽名驗證的情況下,切勿信任解碼後的數據。此工具完全在您的瀏覽器中解碼令牌 - 不會發送任何數據到伺服器。
JWT 的不同部分代表什麼意思?
JWT 有三個由點分隔的部分:1) 標頭 - 包含演算法 (alg) 和令牌類型 (typ),通常用於簽名的演算法為 HS256 或 RS256。2) 負載 - 包含聲明,即關於使用者和額外數據的陳述,如過期時間 (exp)、簽發時間 (iat)、主體 (sub) 等。3) 簽名 - 通過使用密鑰對標頭和負載進行簽名而創建,用於驗證令牌未被篡改。
為什麼我不能用這個工具驗證簽名?
簽名驗證需要密鑰(對於對稱演算法如 HS256)或公鑰(對於非對稱演算法如 RS256)。由於此工具出於隱私考量完全在您的瀏覽器中運行,它無法訪問您伺服器的密鑰。要驗證簽名,請使用伺服器端庫,如 jsonwebtoken (Node.js)、PyJWT (Python) 或 jwt-go (Go)。
常見的 JWT 聲明有哪些?
常見的註冊聲明包括:iss (簽發者)、sub (主體)、aud (受眾)、exp (過期時間)、nbf (不早於)、iat (簽發時間) 和 jti (JWT ID)。自定義聲明可以包括 user_id、email、roles、權限或任何應用程式特定的數據。基於時間的聲明 (exp, nbf, iat) 是 Unix 時間戳。
額外資源
引用此內容、頁面或工具為:
"JWT解碼器" 於 https://MiniWebtool.com/zh-tw//,來自 MiniWebtool,https://MiniWebtool.com/
由 miniwebtool 團隊提供。更新日期:2026年2月3日