JWT解析

功能特点

  • 完整解析:解析JWT的Header、Payload和Signature三部分,完整展示令牌结构
  • JSON格式化:自动格式化JSON数据,缩进展示,清晰易读
  • 时间解码:自动解码iat、exp、nbf等时间戳,转换为可读的日期时间格式
  • 一键复制:支持复制整个Header或Payload,快速粘贴使用
  • 实时解析:输入JWT后自动解析,无需点击按钮,即时查看结果
  • 本地解析:所有解析在浏览器本地完成,不上传服务器,保护隐私安全

使用教程

1

输入JWT令牌

在输入框中粘贴需要解析的JWT令牌,令牌格式通常为三部分由点号分隔的Base64Url编码字符串。

2

查看解析结果

输入后系统会自动解析,分别展示Header(头部)、Payload(载荷)、Signature(签名)和时间信息。

3

复制使用

点击各部分的复制按钮,即可将对应内容复制到剪贴板,快速粘贴到代码或文档中使用。

应用场景

API调试

解析接口返回的JWT令牌,查看token内容和有效期

问题排查

排查认证相关问题,检查token是否有效、是否过期

学习研究

学习JWT结构,理解各部分的含义和作用

安全审计

审计JWT令牌内容,检查是否包含敏感信息

用户认证

分析用户身份令牌,查看用户信息和权限声明

后端开发

后端开发调试JWT生成和验证逻辑

JWT简介

JWT(JSON Web Token)是一种开放标准,用于在各方之间安全地传输信息。

什么是JWT?

JWT(JSON Web Token)是一个开放标准(RFC 7519),用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。JWT可以使用密钥(如HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

JWT的结构

JWT由三部分组成,用点(.)分隔:

  • Header(头部):通常由两部分组成:令牌类型(JWT)和签名算法(如HMAC SHA256或RSA)
  • Payload(载荷):包含声明(Claims),即关于实体(通常是用户)和其他数据的声明
  • Signature(签名):使用编码后的头部、编码后的载荷和密钥,通过指定算法生成的签名

常用声明(Claims)

  • iss (Issuer):签发者
  • sub (Subject):主题,通常是用户ID
  • aud (Audience):接收方
  • iat (Issued At):签发时间
  • exp (Expiration Time):过期时间
  • nbf (Not Before):生效时间
  • jti (JWT ID):唯一标识

JWT安全注意事项

使用JWT时需要注意:1)不要在Payload中存放敏感信息,因为Base64Url是编码不是加密;2)设置合理的过期时间;3)使用HTTPS传输;4)选择安全的签名算法;5)验证签名,防止篡改。

常见问题

Q:JWT解析器是免费的吗?
A:完全免费,无需注册登录,无使用次数限制,打开网页即可使用。所有解析在浏览器本地完成,不上传服务器,保护您的数据隐私。
Q:JWT解析后可以修改吗?
A:本工具只提供解析功能,不支持修改。如果修改了Payload内容,签名将失效,服务端验证时会失败。
Q:JWT的Payload是加密的吗?
A:不是。JWT的Payload只是使用Base64Url编码,可以轻松解码。因此,不要在JWT中存放密码、密钥等敏感信息。JWT的签名用于验证完整性,而非加密内容。
Q:JWT和Session有什么区别?
A:Session是服务端存储用户状态,客户端只保存Session ID;JWT是客户端存储所有信息,服务端只需验证签名。JWT更适合分布式系统和跨域认证,但无法主动作废是其缺点。
Q:JWT过期了怎么办?
A:JWT过期后需要重新获取。常见的做法是使用Refresh Token机制:当Access Token过期后,使用Refresh Token去换取新的Access Token,而不需要用户重新登录。
Q:支持哪些签名算法?
A:JWT支持多种签名算法,常见的有HS256(HMAC-SHA256)、RS256(RSA-SHA256)、ES256(ECDSA-SHA256)等。本工具支持解析所有标准JWT令牌的Header和Payload。
Q:输入的JWT会被记录吗?
A:不会。所有JWT解析操作都在您的浏览器本地完成,JWT内容不会上传到任何服务器,也不会被记录,完全保护您的数据隐私和安全。