Token JWT 必须有三段
关于 JWT 解析器
JWT(JSON Web Token)是一种紧凑的、URL 安全的令牌格式,由 Header、Payload、Signature 三段 Base64URL 编码字符串通过 `.` 连接而成。本工具在浏览器本地解析 JWT 的 header 和 payload 并展示过期时间,**不会校验签名也不会解密**——你的 token 不会被上传到任何服务器。 建议在日常开发中收藏本工具,遇到相关 Web 开发需求时即可快速打开使用。所有处理均在浏览器本地完成,无需安装任何软件。
使用场景
- 调试登录态问题 — 用户反馈"登录失效"时,从浏览器拷贝 token 解析过期时间和声明字段。
- 检查 OAuth/OIDC 流程 — 查看 access_token 和 id_token 的 claims(sub、aud、iss 等)。
- 校验 token 结构 — 判断后端发的 token 是否包含预期的自定义字段(如 user_id、role)。
- 理解第三方 SSO — 研究 Auth0、Firebase、Okta 等 IdP 颁发的 token 内容。
- 排查 401 错误 — 快速看出 token 是否已过期(exp 字段)或还未生效(nbf 字段)。
常见问题
JWT 是加密的吗?
不是。JWT 默认只是 Base64URL 编码(不是加密),任何人拿到 token 都能解码看到 payload。需要保密的内容请用 JWE 或不要放入 JWT。
本工具会校验签名吗?
不会。校验签名需要服务端的密钥或公钥,本工具仅做解码展示。生产环境请在后端用 jose、jsonwebtoken 等库验证。
JWT 怎么手动失效?
无法在不维护服务端黑名单的情况下提前失效。这是 JWT 的固有缺陷——所以 access_token 通常只设几分钟有效期,配合 refresh_token 使用。
JWT 比 session cookie 更安全吗?
不一定。JWT 适合无状态分布式场景,但 session cookie 配合 HttpOnly+Secure 也很安全。选哪种取决于架构,不是安全等级问题。
为什么我的 JWT 太长了?
payload 越多 token 越大。建议只放必要字段(sub、exp、aud、role)。每个 HTTP 请求都要带 token,过大会浪费带宽。
有浏览器兼容性要求吗?
本工具兼容所有现代浏览器(Chrome、Firefox、Edge、Safari),无需安装任何插件或扩展。
可以离线使用吗?
首次加载后,部分功能在离线状态下仍可使用。页面资源加载后,核心逻辑完全在浏览器本地运行,不依赖网络。