UD5工具箱
JWT 签发与验证工具 - 在线调试JSON Web Token
填入Payload及密钥,选择HS256/RS256算法生成JWT,并验证已签发Token的签名与过期时间。
JWT 调试器增强版 - 签名验证与有效期检查
JWT 调试器增强版
签名验证 · 有效期检查 · Claims 可视化解析
JWT 格式无效,请检查是否包含两个点号(.)分隔符
HEADER头部
算法 & 令牌类型
—
PAYLOAD载荷
Claims 声明数据
—
SIGNATURE签名
Base64URL 编码签名
—
签名验证
有效期检查
请先输入 JWT Token
Claims 声明详情
| 声明 (Claim) | 值 | 说明 |
|---|---|---|
| — 暂无数据 — | ||
常见问题 (FAQ)
什么是 JWT?它由哪几部分组成?
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它由三部分组成,用点号(.)分隔:
- Header(头部):包含令牌类型(typ)和签名算法(alg),经过 Base64URL 编码。
- Payload(载荷):包含声明(Claims),如用户ID、过期时间等,经过 Base64URL 编码。
- Signature(签名):对前两部分进行签名计算,防止数据被篡改。
HS256 和 RS256 有什么区别?
HS256 (HMAC-SHA256):对称加密算法,使用同一个密钥进行签名和验证。速度快,适合微服务内部通信。
RS256 (RSA-SHA256):非对称加密算法,使用私钥签名、公钥验证。更适合第三方客户端场景,避免了密钥共享的风险。
选择建议:如果只有你的服务器使用JWT,HS256足够;如果需要分发给第三方验证,使用RS256或ES256。
exp、nbf、iat 分别是什么意思?
- exp (Expiration Time):过期时间。Token 在此时间之后失效,必须重新获取。
- nbf (Not Before):生效时间。Token 在此时间之前不可使用。
- iat (Issued At):签发时间。Token 的创建时间戳。
这三个时间都是Unix 时间戳(秒),通常用于控制 Token 的生命周期。建议始终设置 exp 以限制 Token 的有效期。
Base64URL 编码和 Base64 有什么不同?
Base64URL 是 Base64 的 URL 安全变体,主要区别:
- 将
+替换为- - 将
/替换为_ - 移除末尾的
=填充字符
这样 JWT 可以直接放在 URL 参数中而无需额外的 URL 编码。
JWT 安全吗?使用时需要注意什么?
- ⚠️ 不要在 JWT 中存储敏感信息 — Payload 只是 Base64URL 编码,任何人都可以解码查看。
- 🔐 始终验证签名 — 防止 Token 被篡改。
- ⏰ 设置合理的过期时间 — 建议短期有效(如15分钟~2小时),配合 Refresh Token 使用。
- 🔑 使用强密钥 — HS256 密钥至少 256 位(32字节)。
- 🚫 避免使用 none 算法 — 它允许无签名的 JWT,是严重的安全漏洞。
- 📋 验证所有声明 — 包括 iss(签发者)、aud(接收者)等。
JWT 过期后怎么办?什么是 Refresh Token?
JWT 过期后需要重新获取。常见的做法是使用双 Token 机制:
- Access Token(访问令牌):短期有效(如15分钟),用于API请求认证。
- Refresh Token(刷新令牌):长期有效(如7天),用于获取新的 Access Token。
当 Access Token 过期时,客户端使用 Refresh Token 向认证服务器请求新的 Access Token,无需用户重新登录。
JWT在线解码调试工具 - 解析Header与Payload
解析JSON Web Token,显示Header和Payload内容及签名算法,不验证签名,方便开发调试。
JSON 格式化与验证工具 - 在线JSON美化校验
在线JSON格式化与验证工具,支持JSON压缩美化、语法高亮、错误定位,浏览器本地处理保障数据安全。
密码泄露查询 - k-Anonymity 安全检测
使用范围请求安全地检查密码是否出现在已知数据泄露库中(不发送完整密码)。
XML 格式化与验证工具 - 在线XML美化
在线XML格式化工具,支持XML缩进美化、语法高亮、树形结构查看及格式验证,完全在浏览器中处理。
校验位计算器 - Luhn/ISBN-13/GTIN等
输入部分代码,选择算法自动计算最后一位校验码,用于生成或验证条码。
随机回忆笔记 - 输入片段日后抽盲盒
随时记录一句话或一张照片,日后随机抽出一张查看,带来惊喜。
CORS 跨域请求测试器 - 分析响应头
输入目标URL,发送预检请求,分析Access-Control-*头,诊断跨域问题。
色盲安全调色板推荐 - 数据可视化配色
提供多组在各色盲类型下仍可区分的定性、连续配色方案,辅助图表设计。
Web分享API测试 - 调用系统分享面板
填写标题、文本和URL,触发系统级分享菜单,测试Web Share API功能。
本地密码保管箱 - AES加密存储localStorage
使用主密码和WebCrypto AES加密存储账号密码,数据仅存本地,需主密码解锁查看。
Punycode编码转换工具 - 国际化域名在线解码
将非ASCII域名(如中文域名)转换为Punycode格式或还原,理解国际化域名编码机制。
Trusted Types 安全浏览 - DOM XSS防护演示
展示如何用默认策略将字符串转换为TrustedHTML,并观察禁止直接赋值的安全限制。
HTML Sanitizer API演示 - 安全插入HTML
使用新的Sanitizer API清理可能存在XSS风险的HTML字符串,并安全插入DOM。
常见蘑菇鉴别指南 - 可食用与剧毒对比图
展示常见野生菌外观特征对比,标注可食与剧毒区别,附中毒症状。
Schema标记生成器 - 结构化数据标记JSON-LD
选择结构类型(Article, Product等),填写字段生成JSON-LD代码,嵌入网页增强搜索结果。
快艇骰子计分助手 - 锁定骰子与分表
掷5颗骰子,选择保留哪些,3次机会后填入计分表,自动加总。
匿名礼物交换分配器 - 秘密圣诞老人配对
输入名单并设置排除规则(如不能自己抽自己),随机生成保密配对结果,支持邮件密送。
DNS 记录查询工具 - 支持A/MX/CNAME/TXT等
通过DoH或公共API查询域名的A/AAAA/CNAME/MX/TXT记录,显示TTL和详细内容。
ROT13在线编码解码工具 - 字母回转13位加密
在线ROT13编码与解码,字母位移13位,简单经典的单表置换加密,适用于隐藏轻度敏感文本。
简易WHOIS查询演示 - 通过公共API查域名
输入域名,调用开放的WHOIS API获取注册信息,返回可用信息片段(需API兼容)。
AES在线加密解密 - WebCrypto安全对称密钥
使用浏览器SubtleCrypto API实现AES-GCM或AES-CBC加密解密,可设密码短语,全前端安全。
Web Share Target测试 - PWA分享接收
演示如何注册为分享目标,接收来自其他应用的分享内容(需PWA安装)。
Web USB调试工具 - 连接Arduino等设备
请求USB设备并列出接口,发送和接收数据,适用于调试兼容WebUSB的微控制器。
感恩日记极简版 - 每天三件好事记录
简单界面记录每日值得感恩的三件事,本地加密存储,培养积极思维习惯。
匿名礼物交换计划器 - 抽签及心愿单
输入参与者,随机分配送礼对象,并允许填写心愿单显示给对方。
前端NPM依赖风险检查器 - 基于公开漏洞库
粘贴package.json内容,调用公开漏洞API(演示数据)检查依赖安全性,警示高危包。
蓝牙设备扫描 - Web Bluetooth API探测
搜索附近的蓝牙低功耗(BLE)设备,并显示设备名称和ID,需用户授权。
在线电子签名板 - Canvas手写签名导出
在Canvas上手写签名,支持调节笔刷粗细和颜色,将签名保存为透明PNG图片。
麦克风实时监听 - 测试麦克风声音
立即播放麦克风输入的声音,检验麦克风是否工作。