本地解码 JWT Header 与 Payload,检查声明、时间窗口、受众和常见风险信号。
- 本地处理
- 分类 开发运维
- 适合 格式化、校验、压缩或检查和代码相关的文本。
粘贴 JWT 后检查 claims。
token 只留在浏览器里。结果会展示 header 元数据、注册声明、时间状态和风险检查。
这个工具能做什么
面向开发者排查鉴权问题的浏览器本地 JWT 解码与 Claims 检查器。粘贴 JSON Web Token 后,工具会解出 header、payload 和签名段,并集中检查 iss、sub、aud、exp、nbf、iat、jti、scope、roles 等常见声明。它会标出 token 是否过期、尚未生效、时间戳疑似毫秒、alg=none、缺少受众或过期 声明,同时明确提醒:能解码不等于已验签。整个过程不上传,也不写进 URL, 避免把 bearer token 泄露到分享链接里。
工具细节
- 输入
- 文本 + 结构化内容
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 32 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 开发运维 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
JWT 解码与 Claims 检查器 适合怎么用
适合穿插在写代码、查问题、做 Review、上线前的小任务里。
适合开发场景
- 格式化、校验、压缩或检查和代码相关的文本。
- 把片段整理好再放进文档、工单、提交或交接材料。
- 不切换工具,快速检查一个小 payload。
开发检查项
- 压缩、混淆这类不可逆处理,先对副本操作。
- 除非确认工具本地处理,不要粘贴密钥和敏感片段。
- 转换后的代码上线前,仍要跑自己的测试或 lint。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
先定位 API 401,再决定要不要改后端
把失败请求里的 bearer token 粘进来,在一个面板里看 exp、nbf、iat、 iss 和 aud。如果 token 两分钟前已经过期,或发给了错误的 audience, 该修的是客户端刷新流程或 OAuth 配置,不是先去翻路由处理代码。
确认角色或 scope 是否真的签进 token
用户能登录却做不了管理操作时,解码 token 看 scope、scp、roles、 groups 和 permissions。缺哪个声明一眼可见,问题是在身份提供方映射、 token 请求参数,还是你的后端授权策略,就不会混在一起查。
抓住危险的 JWT 调试捷径
alg=none、缺少 exp、nbf 在未来、NumericDate 看起来像毫秒值,这些 往往是真实实现问题的信号。检查器把它们明确列出来,评审时不用从 原始 JSON 里靠经验猜。
SSO 密钥轮换时比对 header 元数据
JWKS 或 SSO 密钥轮换期间,先读 header 里的 alg、kid、typ、cty, 再去看验证器缓存。如果 kid 对不上当前公布的 key,问题多半是缓存的 密钥材料过期,而不是 payload 里的业务声明。
常见踩坑
把能解码当成 token 有效。任何人都能把 JSON 做 base64url 编码,只有验签以及 issuer/audience 校验通过后,claims 才可信。
把 JWT NumericDate 当成 JavaScript 毫秒。exp、nbf、iat 是 Unix 秒,在错误层级乘除 1000 会制造很难看懂的时钟问题。
把带 token 的调试链接发出去。本工具故意不对 JWT 输入做 URL state,因为 bearer token 在有效期内常常等同于访问权限。
隐私说明
JWT 输入按敏感数据处理。解码和 claims 检查都在当前浏览器标签页用纯 JavaScript 完成,不会发起 API 请求,也不会把 token 同步进页面 URL。 只有你点击复制按钮时才会写入剪贴板。如果某个 token 能访问生产环境, 一旦误暴露就应立即轮换。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。