解码 JWT 的 Header / Payload / Signature,看声明、查过期、复制字段,全程浏览器本地
- 本地处理
- 分类 编码加密
- 适合 快速检查小 payload、令牌、哈希和编码值。
这个工具能做什么
免费在线 JSON Web Token 解码工具。粘贴任意 JWT 即时查看解码后的 header、payload(声明)、签名。显示 token 类型、算法、签发者(iss)、 主体(sub)、过期(exp)、签发时(iat),以及 token 是否已过期。 100% 浏览器本地,token 不发出。
工具细节
- 输入
- 文本 + 结构化内容
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 免账号使用
- 打开页面即可使用;刷新后是否保留结果取决于具体工具。
- 性能预算
- 首屏 JS ≤ 10 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 编码加密 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
JWT 解码器 适合怎么用
适合做浏览器本地的编码、解码、哈希、令牌检查和可分享转换。
适合编码任务
- 快速检查小 payload、令牌、哈希和编码值。
- 把值整理好再放进 API、URL、文档或客服工单。
- 输入可能敏感时,尽量避开账号型在线工具。
编码检查项
- 真实密钥不要随便粘贴,除非确认能接受本地浏览器处理。
- 分享结果前确认这个操作是否可逆。
- 哈希值要核对算法和大小写是否符合对方要求。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
排查 401 时先看 token 是不是单纯过期了
接口返回 401,你怀疑是 access token。把它粘进来,读 exp, 跟当前时间比一下。如果 exp 是 1716200000、正好是三分钟前, 那就是过期了,客户端刷新一下即可,不是权限 bug。 一个本来要查半小时的问题,十秒就定位了。
确认登录异常是 scope 不对而非用户认错
用户反馈进不了管理后台。粘他的 token,先看 sub 确认确实是他的账号, 再读 scope 或 roles。如果看到 scope 是「read:orders」、 可路由要的是「admin:write」,那是鉴权服务签发时权限给错了, 改角色映射,不是改路由守卫。
定位两个服务之间的时钟漂移问题
服务 B 拒掉服务 A 刚签发的 token。解码后拿 iat、nbf 跟 B 的本地时间对。 如果从 B 的角度看 iat 是 40 秒后的未来,两台机器时间不一致, nbf 校验就被绊倒。该修的是主机 NTP 不是代码, 解出来的时间戳就是证据。
通过 header 里的 kid 确认 SSO 用了哪把密钥
Okta 或 Auth0 轮换密钥时验签突然失败。解码 header 读 kid, 再到对方 JWKS 端点的密钥列表里比对。如果 kid 指向一把 已经不再公布的密钥,说明你的服务缓存了过期的 JWKS、需要重新拉取, 五秒解码就能告诉你要追哪把密钥。
常见踩坑
把「能解码」当成「token 有效」。解码只是读字段,被篡改的 payload 照样能干净解出来。信任前一定要在服务端用签发方密钥验签。
把 exp 当毫秒读。JWT 时间戳是 Unix 秒,1716200000 是 2024 年不是 1970 年,只有喂给 JavaScript 的 Date(ms) 时才乘 1000。
把生产 token 粘进随便一个在线解码器。即便纯本地,剪贴板历史和浏览器扩展也可能泄露;敏感 token 用可信的本地工具解,或解完就轮换密钥。
隐私说明
解码全程在你的浏览器里完成,token 在本地做 base64url 解码加 JSON 解析, 不发往任何服务器。因为输入是凭证,这里特意不把它同步进 URL, 所以复制链接或加书签都不会把它带出去。生产环境的 token 建议在本机解码, 一旦某个 token 暴露过,记得轮换密钥。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。