Token
H头部
P载荷
签发于2018-01-18T01:30:22.000Z
签名
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c关于 JWT 解析器
JWT(JSON Web Token)是一种紧凑的、URL 安全的令牌格式,由 Header、Payload、Signature 三段 Base64URL 编码字符串通过 `.` 连接而成。本工具在浏览器本地解析 JWT 的 header 和 payload 并展示过期时间,**不会校验签名也不会解密**——你的 token 不会被上传到任何服务器。
使用场景
- 调试登录态问题 — 用户反馈"登录失效"时,从浏览器拷贝 token 解析过期时间和声明字段。
- 检查 OAuth/OIDC 流程 — 查看 access_token 和 id_token 的 claims(sub、aud、iss 等)。
- 校验 token 结构 — 判断后端发的 token 是否包含预期的自定义字段(如 user_id、role)。
- 理解第三方 SSO — 研究 Auth0、Firebase、Okta 等 IdP 颁发的 token 内容。
- 排查 401 错误 — 快速看出 token 是否已过期(exp 字段)或还未生效(nbf 字段)。
常见问题
JWT 是加密的吗?
不是。JWT 默认只是 Base64URL 编码(不是加密),任何人拿到 token 都能解码看到 payload。需要保密的内容请用 JWE 或不要放入 JWT。
本工具会校验签名吗?
不会。校验签名需要服务端的密钥或公钥,本工具仅做解码展示。生产环境请在后端用 jose、jsonwebtoken 等库验证。
JWT 怎么手动失效?
无法在不维护服务端黑名单的情况下提前失效。这是 JWT 的固有缺陷——所以 access_token 通常只设几分钟有效期,配合 refresh_token 使用。
JWT 比 session cookie 更安全吗?
不一定。JWT 适合无状态分布式场景,但 session cookie 配合 HttpOnly+Secure 也很安全。选哪种取决于架构,不是安全等级问题。
为什么我的 JWT 太长了?
payload 越多 token 越大。建议只放必要字段(sub、exp、aud、role)。每个 HTTP 请求都要带 token,过大会浪费带宽。