解码 JWT
在浏览器本地解码 JSON Web Token, 将头部和载荷还原为可读的 JSON, 全程不上传。
正在你的设备上本地处理 ...
0%
你的文件从未离开你的设备
我的文件会被上传吗?
不会。一切都在你的浏览器中运行,你的文件永不离开你的设备。这一点如何验证
在浏览器本地解码 JSON Web Token, 将头部和载荷还原为可读的 JSON, 全程不上传。
正在你的设备上本地处理 ...
0%
你的文件从未离开你的设备
不会。一切都在你的浏览器中运行,你的文件永不离开你的设备。这一点如何验证
JSON Web Token (JWT, RFC 7519) 是一种紧凑令牌, 由用点分隔的三部分组成: 头部、载荷和签名。头部和载荷只是经 Base64URL 编码的 JSON (RFC 7515), 并非机密, 只是一种便于传输的写法。本工具把各部分拆开, 将头部和载荷解码还原, 并把其中的 JSON 整齐缩进展示。你能一眼看出声明了哪种算法, 以及令牌携带了哪些信息 (声明)。
诚实地说: 本工具只解码, 不验证签名。真正的验证需要签发方的密钥或公钥, 而本工具有意从不索取。因此解码后的令牌还算不上可信令牌, 其内容可能已被篡改。请把这个视图用于理解和调试 (有哪些声明、exp 何时过期、iss 是谁), 切勿当作真实性的证明。
全部处理完全在浏览器本地、以纯 JavaScript 完成: 令牌不上传、不保存, 也不会从 CDN 加载任何第三方库。这对令牌尤其重要, 因为访问令牌或 ID 令牌不该填进别人的在线表单。若输入不是有效的 JWT, 本工具会如实告知, 而不是编造一个错误结果。
| 输入格式 | 文本输入 |
|---|---|
| 输出格式 | JSON |
| 批量处理 | 不支持 |
| 处理方式 | 在浏览器中本地处理 (JavaScript) |
| 文件上传 | 无 |
限制: 这是不含签名验证的纯解码: 本工具不确认令牌是否真实或未被篡改, 那需要签发方的密钥。它也不检查令牌是否过期, 只展示声明。加密令牌 (JWE) 不会被解密。头部和载荷只是 Base64URL, 并非加密, 所以切勿把机密放进载荷。
不会。解码完全在浏览器本地进行; 令牌永远不会离开你的设备, 也不会被保存。
不会。它只解码头部和载荷。验证签名需要签发方的密钥, 而本工具有意从不索取。解码后的令牌并非可信令牌。
通常不是。头部和载荷只是经 Base64URL 编码, 任何人都能读回。所以不要把机密放进载荷。
标准声明: iss 是签发方, iat 是签发时间, exp 是过期时间 (Unix 时间), sub 是主体。本工具原样展示, 并不对其求值。
若输入不是有效的 JWT (部分数量不对或 Base64URL 损坏), 本工具会如实报错, 而不是给出错误结果。