无需登录 数据私有 本地保存

JWT在线解码调试工具 - 解析Header与Payload

60
0
0
0
Header

等待解析
Payload

等待解析
Signature
等待解析
JWT 常见问题 & 知识点

JWT(JSON Web Token) 是一种开放标准(RFC 7519),用于在网络应用间安全地传递信息。它由三部分组成,用点号(.)分隔:
① Header(头部) — 包含令牌类型(typ)和签名算法(alg),如 HS256、RS256。
② Payload(载荷) — 包含声明(Claims),如用户ID、过期时间等。
③ Signature(签名) — 用于验证令牌完整性和来源,由 Header+Payload + 密钥通过指定算法生成。

JWT 使用 Base64Url 编码而非标准 Base64,主要区别:
+ 替换为 -
/ 替换为 _
• 去除末尾的 = 填充字符
这样做是为了让 JWT 可以安全地出现在 URL 中,无需额外的 URL 编码。

iat(Issued At):令牌签发时间
exp(Expiration):令牌过期时间,超过此时间令牌无效
nbf(Not Before):令牌生效时间,在此之前不可使用
auth_time:用户认证时间
这些时间戳通常为 Unix 时间戳(秒),本工具会自动转换为可读的日期时间。

签名验证需要 密钥(对称算法如 HS256)或 公钥(非对称算法如 RS256、ES256)。
纯前端环境无法安全地进行签名验证(密钥不应暴露在客户端)。验证通常在后端服务器完成。
本工具帮助你解码和查看 JWT 内容,但无法替代服务端签名验证。如果 Header 中 alg 为 none,说明令牌无签名保护,极不安全

HS256(HMAC-SHA256):对称算法,使用同一密钥签名和验证,适合单服务场景。
RS256(RSA-SHA256):非对称算法,使用私钥签名、公钥验证,适合微服务/多系统。
ES256(ECDSA-SHA256):基于椭圆曲线,签名更短、性能更好。
PS256:RS256 的改进版,安全性更高。
none:无签名,极不安全,生产环境绝对不要使用!

JWT 无状态:服务器不需要存储会话信息,令牌包含所有必要数据,适合分布式/微服务架构。
Session 有状态:服务器存储会话,客户端只保存 Session ID。
• JWT 优势:水平扩展容易、跨域友好、适合 API 认证。
• JWT 劣势:令牌体积较大、无法主动失效(需要黑名单机制)、需注意存储安全。