🎫

JWT 解析器

解码并检查 JWT 令牌的 header、payload 与过期时间,高亮展示声明字段并校验签名结构与算法,适合调试 OAuth2 授权、单点登录、API 鉴权与微服务间令牌传递等认证流程中的令牌问题。

无效
Token JWT 必须有三段
13 字符

关于 JWT 解析器

JWT(JSON Web Token)是一种紧凑的、URL 安全的令牌格式,由 Header、Payload、Signature 三段 Base64URL 编码字符串通过 `.` 连接而成。本工具在浏览器本地解析 JWT 的 header 和 payload 并展示过期时间,**不会校验签名也不会解密**——你的 token 不会被上传到任何服务器。 建议在日常开发中收藏本工具,遇到相关 Web 开发需求时即可快速打开使用。所有处理均在浏览器本地完成,无需安装任何软件。

使用场景

  • 调试登录态问题 — 用户反馈"登录失效"时,从浏览器拷贝 token 解析过期时间和声明字段。
  • 检查 OAuth/OIDC 流程 — 查看 access_token 和 id_token 的 claims(sub、aud、iss 等)。
  • 校验 token 结构 — 判断后端发的 token 是否包含预期的自定义字段(如 user_id、role)。
  • 理解第三方 SSO — 研究 Auth0、Firebase、Okta 等 IdP 颁发的 token 内容。
  • 排查 401 错误 — 快速看出 token 是否已过期(exp 字段)或还未生效(nbf 字段)。

常见问题

JWT 是加密的吗?

不是。JWT 默认只是 Base64URL 编码(不是加密),任何人拿到 token 都能解码看到 payload。需要保密的内容请用 JWE 或不要放入 JWT。

本工具会校验签名吗?

不会。校验签名需要服务端的密钥或公钥,本工具仅做解码展示。生产环境请在后端用 jose、jsonwebtoken 等库验证。

JWT 怎么手动失效?

无法在不维护服务端黑名单的情况下提前失效。这是 JWT 的固有缺陷——所以 access_token 通常只设几分钟有效期,配合 refresh_token 使用。

JWT 比 session cookie 更安全吗?

不一定。JWT 适合无状态分布式场景,但 session cookie 配合 HttpOnly+Secure 也很安全。选哪种取决于架构,不是安全等级问题。

为什么我的 JWT 太长了?

payload 越多 token 越大。建议只放必要字段(sub、exp、aud、role)。每个 HTTP 请求都要带 token,过大会浪费带宽。

有浏览器兼容性要求吗?

本工具兼容所有现代浏览器(Chrome、Firefox、Edge、Safari),无需安装任何插件或扩展。

可以离线使用吗?

首次加载后,部分功能在离线状态下仍可使用。页面资源加载后,核心逻辑完全在浏览器本地运行,不依赖网络。