跳到主要内容

JWT 解码:Header / Payload / Signature

解码 JWT 的 Header / Payload / Signature,看声明、查过期、复制字段,全程浏览器本地

  • 本地处理
  • 分类 编码加密
  • 适合 快速检查小 payload、令牌、哈希和编码值。
上方粘贴 JWT 开始解析。

这个工具能做什么

免费在线 JSON Web Token 解码工具。粘贴任意 JWT 即时查看解码后的 header、payload(声明)、签名。显示 token 类型、算法、签发者(iss)、 主体(sub)、过期(exp)、签发时(iat),以及 token 是否已过期。 100% 浏览器本地,token 不发出。

工具细节

输入
文本 + 结构化内容
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 10 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
编码加密 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

JWT 解码器 适合怎么用

适合做浏览器本地的编码、解码、哈希、令牌检查和可分享转换。

适合编码任务

  • 快速检查小 payload、令牌、哈希和编码值。
  • 把值整理好再放进 API、URL、文档或客服工单。
  • 输入可能敏感时,尽量避开账号型在线工具。

编码检查项

  • 真实密钥不要随便粘贴,除非确认能接受本地浏览器处理。
  • 分享结果前确认这个操作是否可逆。
  • 哈希值要核对算法和大小写是否符合对方要求。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 Base64 编码 / 解码 文本、文件、Data URL 一站搞定,纯浏览器运行,数据不离开本地。 打开
  2. 2 URL 编码 / 解码 把空格、中文、emoji 等特殊字符转 %xx 百分号编码,或反向解码,全程浏览器本地 打开
  3. 3 JWT 编码器 JWT 编码器,选算法 (HS256/HS384/HS512),配 header / payload / secret,生成 token。 打开

真实使用场景

  • 排查 401 时先看 token 是不是单纯过期了

    接口返回 401,你怀疑是 access token。把它粘进来,读 exp, 跟当前时间比一下。如果 exp 是 1716200000、正好是三分钟前, 那就是过期了,客户端刷新一下即可,不是权限 bug。 一个本来要查半小时的问题,十秒就定位了。

  • 确认登录异常是 scope 不对而非用户认错

    用户反馈进不了管理后台。粘他的 token,先看 sub 确认确实是他的账号, 再读 scope 或 roles。如果看到 scope 是「read:orders」、 可路由要的是「admin:write」,那是鉴权服务签发时权限给错了, 改角色映射,不是改路由守卫。

  • 定位两个服务之间的时钟漂移问题

    服务 B 拒掉服务 A 刚签发的 token。解码后拿 iat、nbf 跟 B 的本地时间对。 如果从 B 的角度看 iat 是 40 秒后的未来,两台机器时间不一致, nbf 校验就被绊倒。该修的是主机 NTP 不是代码, 解出来的时间戳就是证据。

  • 通过 header 里的 kid 确认 SSO 用了哪把密钥

    Okta 或 Auth0 轮换密钥时验签突然失败。解码 header 读 kid, 再到对方 JWKS 端点的密钥列表里比对。如果 kid 指向一把 已经不再公布的密钥,说明你的服务缓存了过期的 JWKS、需要重新拉取, 五秒解码就能告诉你要追哪把密钥。

常见踩坑

  • 把「能解码」当成「token 有效」。解码只是读字段,被篡改的 payload 照样能干净解出来。信任前一定要在服务端用签发方密钥验签。

  • 把 exp 当毫秒读。JWT 时间戳是 Unix 秒,1716200000 是 2024 年不是 1970 年,只有喂给 JavaScript 的 Date(ms) 时才乘 1000。

  • 把生产 token 粘进随便一个在线解码器。即便纯本地,剪贴板历史和浏览器扩展也可能泄露;敏感 token 用可信的本地工具解,或解完就轮换密钥。

隐私说明

解码全程在你的浏览器里完成,token 在本地做 base64url 解码加 JSON 解析, 不发往任何服务器。因为输入是凭证,这里特意不把它同步进 URL, 所以复制链接或加书签都不会把它带出去。生产环境的 token 建议在本机解码, 一旦某个 token 暴露过,记得轮换密钥。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

Made by Toolora · 100% client-side · Updated 2026-07-02