JWT 解码 / 检查
粘贴 JWT 即可解码其 header 与 payload,并排查 alg:none、已过期、缺少 exp 等风险。全部在浏览器内处理,不进行签名验证。
全部在你的浏览器内处理,输入绝不会发送到服务器。
在上方粘贴 JWT 即可查看解码结果。
使用方法
- 1
粘贴要检查的 JWT(header.payload.signature 三段式)。
- 2
解码 header 与 payload,并列出存在风险的取值。
- 3
exp / iat / nbf 会转换为可读的时间显示。
为什么重要
关键在于理解:JWT 并未加密。任何人都能用 base64url 解码并读取其内容。因此切勿将机密信息放入 payload,要拒绝 alg:none,并始终设置 exp——这些是基本的防御措施。
常见问题
Q粘贴的 JWT 会被发送出去吗?
A
不会。解码完全在浏览器内进行,令牌不会发送到服务器。即便如此,处理生产环境的机密令牌时仍应谨慎。
Q会验证签名吗?
A
不会。本工具仅进行解码与内容检查,不验证签名(验证需要密钥,而出于防御目的,重点在于查看其中的内容)。