这个工具有问题吗?
关于「JWT 解码 在线」
该工具将 JSON Web Token(JWT)解码为三个组成部分:header、payload 和 signature。粘贴来自应用程序认证流程、Authorization 头或 Cookie 的令牌,工具会返回 header 和 payload 解析后的 JSON 内容以及原始签名字节。
JWT 广泛用于身份验证、会话管理和 API 授权。解码(不验证)显示令牌携带的数据——用户 ID、过期时间、范围、自定义声明——对于调试认证问题和确认客户端实际发送的内容很有用。
重要提示:该工具仅解码但不验证签名。解码的 JWT 显示发行者声称的内容,而不是这些声明是否真实。出于安全检查,您的服务器必须根据发行者的公钥验证签名。
如何使用这个工具
如何检视一个 JSON Web Token 的头部与载荷
粘贴 JWT
把 token 放入「Token」字段。JWT 形如 `xxx.yyy.zzz`,三个 base64url 段以点分隔。工具按点拆分,解码前两段。
点击运行
结果返回 `header`(算法与类型,如 `{ "alg": "HS256", "typ": "JWT" }`)与 `payload`(你的声明——`sub`、`exp`、`iat` 及自定义)。第三段(签名)不会被校验或显示。
这不是什么
解码 ≠ 验证。任何拿到 token 的人都能读到 payload;证明真伪的是签名,需要密钥/公钥。不要信任未验证签名的 token——请用 jwt-encoder 或你的认证库在你控制的服务端进行验证。
需要检查的常见声明
`exp` 是 Unix 时间戳——已过期的 token 即使签名有效也不该被接受。`iss` 应等于预期签发方;`aud` 应等于你的服务。如果 payload 看着没问题但鉴权失败,是签名错了,不是声明错了。