JWT 解碼 / 檢查
貼上 JWT 即可解碼其 header 與 payload,並排查 alg:none、已過期、缺少 exp 等風險。全部在瀏覽器內處理,不進行簽章驗證。
全部在你的瀏覽器內處理,輸入絕不會傳送到伺服器。
在上方貼上 JWT 即可查看解碼結果。
使用方法
- 1
貼上要檢查的 JWT(header.payload.signature 三段式)。
- 2
解碼 header 與 payload,並列出存在風險的取值。
- 3
exp / iat / nbf 會轉換為可讀的時間顯示。
為什麼重要
關鍵在於理解:JWT 並未加密。任何人都能用 base64url 解碼並讀取其內容。因此切勿將機密資訊放入 payload,要拒絕 alg:none,並始終設定 exp——這些是基本的防禦措施。
常見問題
Q貼上的 JWT 會被傳送出去嗎?
A
不會。解碼完全在瀏覽器內進行,權杖不會傳送到伺服器。即便如此,處理生產環境的機密權杖時仍應謹慎。
Q會驗證簽章嗎?
A
不會。本工具僅進行解碼與內容檢查,不驗證簽章(驗證需要金鑰,而出於防禦目的,重點在於查看其中的內容)。