编码 Token
解码结果
Header
解码后的 header 出现在这里。
Payload
解码后的 payload 出现在这里。
解码后的 Claims
点击行可在 payload 中定位
Claims 出现在这里,附带可读说明。
Signature
Signature 信息出现在这里。
JWT 解码器 — 在线解码 JSON Web Token
JWT 是什么?
JSON Web Token (JWT) 是一种紧凑、URL 安全的 token 格式,用于在各方之间传递信息。三部分由点分隔:Header(算法和类型)、Payload(claims 和数据)、Signature(验证)。认证系统、OAuth 流程和 API 网关都用 JWT 来传递身份和授权信息,避免每次都查会话存储。
如何使用
- 把您的 token 粘贴到左侧的 编码 Token 面板。
- Header 显示签名算法(HS256、RS256 等)和 token 类型。
- Payload 显示 claims:用户数据、过期时间、scope,以及签发方放进去的任何内容。
- 解码后的 Claims 表格为标准 claim(iss、sub、aud、exp、iat…)增加可读说明。点击某行可在上方 Payload 中高亮对应的 key。
- 工具栏中的过期徽章显示 token 是否有效、是否已过期、或没有
expclaim。
常见问题
此解码器会验证 JWT 签名吗?
不会。验证签名需要密钥(HS256)或公钥(RS256),而在浏览器工具中接受这些密钥会违背让它们保持私密的初衷。本解码器解析并显示 header、payload 和声明,供你查看令牌内容,但签名行只显示其原始值。
为什么我的 JWT 显示为 'Invalid'?
JWT 必须恰好包含由点分隔的三部分:header.payload.signature。最常见的原因是:复制时带了多余空白、缺少第三部分,或令牌在传输中损坏导致 base64url 解码错误。请从源头重新复制并粘贴。
本工具会看到我的 JWT 吗?
不会。解码器在你的浏览器中使用内置的 atob() 和 JSON.parse() 运行。你的令牌不会发送到任何服务器、不会被记录、也不会被存储。粘贴令牌时可打开 DevTools 的 Network 标签来验证——没有任何请求发出。
iat、nbf 和 exp 有什么区别?
iat(签发时间)是令牌创建的时间。nbf(不早于)是令牌可被接受的最早时间。exp(过期时间)是令牌失效的时间。三者都是以秒为单位的 Unix 时间戳,本工具会在每个下方显示易读的本地时间。
为什么显示了算法却没有绿色对勾?
解码器会显示 header 声明的任何算法(HS256、RS256、ES256 等),但不会检查签名是否匹配。带有 alg: none 或算法不符的令牌仍会在此被解码。这是有意为之。验证应在你的后端进行,而非浏览器工具。