JWT 解碼器
在追錯驗證問題前,先檢查 token。解碼標頭、claims、演算法、簽章和到期狀態。
已編碼 token
Header負載Signature
解碼結果
等待 token 輸入...
JWT 是什麼?
JSON Web Token 是一種在系統之間攜帶 claims 的精簡格式。日常除錯時,真正有用的問題通常很直接:誰簽發、給誰用、宣稱哪些權限、用哪個演算法簽署,以及是否已過期。
Header
顯示 token metadata,例如 typ、alg,有時也包含 kid,指向簽發者使用的 key。
Payload
包含 sub、iss、aud、exp、iat、roles、tenant IDs 或應用程式自訂授權資料等 claims。
Signature
當伺服器用預期 secret 或 public key 驗證時,signature 可保護 token 不被竄改。
Expiry
exp claim 常是驗證除錯最快的線索。格式正確的 token 一旦超出有效期,仍然不能用。
JWT FAQ
JWT 有加密嗎?
通常沒有。標準 JWT 是 encoded,不是 encrypted,所以拿到 token 的人都能檢查 header 和 payload。Signature 只保護完整性。
解碼 JWT 會驗證它可信嗎?
不會。解碼只顯示 token 內容。信任需要用預期 secret 或 public key 驗證 signature,並檢查 issuer、audience、expiry 和應用程式規則。
Token 過期會怎樣?
如果 exp claim 已在過去,伺服器應拒絕 token,client 必須重新登入或透過正確 refresh flow 取得新的 access token。
我應該把正式環境 token 貼進解碼器嗎?
請把正式環境 token 當成 credentials。實務上盡量使用短效測試 token,避免把敏感的正式環境 access token 貼到你無法控制的工具。