zh

解码 JWT

在浏览器本地解码 JSON Web Token, 将头部和载荷还原为可读的 JSON, 全程不上传。

正在你的设备上本地处理 ...

0%

你的文件从未离开你的设备

    我的文件会被上传吗?

    不会。一切都在你的浏览器中运行,你的文件永不离开你的设备。这一点如何验证

    无需上传100% 本地处理
    内容只属于你第三方无法访问
    服务器位于德国原生符合 GDPR
    经独立审计TLS A+ · 标头 A+

    JSON Web Token (JWT, RFC 7519) 是一种紧凑令牌, 由用点分隔的三部分组成: 头部、载荷和签名。头部和载荷只是经 Base64URL 编码的 JSON (RFC 7515), 并非机密, 只是一种便于传输的写法。本工具把各部分拆开, 将头部和载荷解码还原, 并把其中的 JSON 整齐缩进展示。你能一眼看出声明了哪种算法, 以及令牌携带了哪些信息 (声明)。

    诚实地说: 本工具只解码, 不验证签名。真正的验证需要签发方的密钥或公钥, 而本工具有意从不索取。因此解码后的令牌还算不上可信令牌, 其内容可能已被篡改。请把这个视图用于理解和调试 (有哪些声明、exp 何时过期、iss 是谁), 切勿当作真实性的证明。

    全部处理完全在浏览器本地、以纯 JavaScript 完成: 令牌不上传、不保存, 也不会从 CDN 加载任何第三方库。这对令牌尤其重要, 因为访问令牌或 ID 令牌不该填进别人的在线表单。若输入不是有效的 JWT, 本工具会如实告知, 而不是编造一个错误结果。

    技术规格

    技术规格
    输入格式文本输入
    输出格式JSON
    批量处理不支持
    处理方式在浏览器中本地处理 (JavaScript)
    文件上传

    三步完成

    1. 把 JWT 粘贴到文本框。
    2. 点击解码。
    3. 将头部和载荷作为 JSON 阅读或下载。

    限制: 这是不含签名验证的纯解码: 本工具不确认令牌是否真实或未被篡改, 那需要签发方的密钥。它也不检查令牌是否过期, 只展示声明。加密令牌 (JWE) 不会被解密。头部和载荷只是 Base64URL, 并非加密, 所以切勿把机密放进载荷。

    常见问题

    我的令牌会被上传吗?

    不会。解码完全在浏览器本地进行; 令牌永远不会离开你的设备, 也不会被保存。

    本工具会验证签名吗?

    不会。它只解码头部和载荷。验证签名需要签发方的密钥, 而本工具有意从不索取。解码后的令牌并非可信令牌。

    JWT 是加密的吗?

    通常不是。头部和载荷只是经 Base64URL 编码, 任何人都能读回。所以不要把机密放进载荷。

    exp、iat、iss 这些声明是什么意思?

    标准声明: iss 是签发方, iat 是签发时间, exp 是过期时间 (Unix 时间), sub 是主体。本工具原样展示, 并不对其求值。

    输入无效时会怎样?

    若输入不是有效的 JWT (部分数量不对或 Base64URL 损坏), 本工具会如实报错, 而不是给出错误结果。

    相关工具