← 返回首页
JWT 解码
头部
请在上方粘贴 JWT Token
载荷
请在上方粘贴 JWT Token
签名
请在上方粘贴 JWT Token
功能亮点
即时解码
粘贴 Token 立刻拆解 Header 和 Payload,Base64 URL 解码后直接查看。
过期检查
一眼看到 exp(过期时间)和 iat(签发时间),判断 Token 是否还有效。
纯本地解码
Token 只在你的浏览器里解码,不会被发送到任何服务器。
字段解析
自动识别标准 JWT 字段:iss 签发者、sub 主题、aud 受众、scope 权限范围。
使用步骤
- 粘贴 JWT Token 字符串到输入框;
- 自动拆解为 Header、Payload、Signature 三部分;
- 查看解码后的 JSON 内容,检查关键字段。
JWT 到底是什么?
JWT(JSON Web Token,发音 "jot")是现代 Web 认证的标配——登录后服务器返回一个 Token,之后每次请求都带上它证明「我是谁」。它由三部分组成:Header(算法类型,如 HS256)、Payload(用户 ID、权限、过期时间等声明)、Signature(防篡改签名)。Payload 只是 Base64 编码而非加密——任何人解码都能看到内容。签名保证了「内容未被修改」,但不提供「内容不可见」。因此绝对不要把密码或敏感信息放在 JWT Payload 中。
常见问题
- JWT 的 Signature 能被解密吗?
- 不能。Signature 不是加密数据,而是「Header + Payload」的数字签名——用服务器密钥生成的哈希值。它的作用是防篡改:如果攻击者修改了 Payload 中的用户 ID,签名就对不上了,服务器会拒绝该 Token。Payload 任何人都能解码看,但无法伪造合法签名。
- 为什么我的 JWT 显示「已过期」?
- JWT 的
exp(Expiration Time)是一个 Unix 时间戳,表示 Token 的有效截止时间。超时后服务器应拒绝该 Token。短有效期的 Token 通常配合 Refresh Token:Access Token 过期后用 Refresh Token 换新的,无需重新登录。 - JWT 和 Session 有什么区别?
- Session 是服务端存状态(如 PHP Session),简单但不利于扩展;JWT 是无状态的——用户信息编码在 Token 里,服务器不需存 Session,天然适合微服务和分布式架构。代价是 Token 一旦签发就无法「远程撤销」——通常用短有效期 + 黑名单策略弥补。