JWT 解码器
在排查验证问题前,先检查 token。解码标头、claims、算法、签名和到期状态。
已编码 token
Header负载Signature
解码结果
等待 token 输入...
JWT 是什么?
JSON Web Token 是一种在系统之间携带 claims 的精简格式。日常排错时,真正有用的问题通常很直接:谁签发、给谁用、声明哪些权限、用哪个算法签署,以及是否已过期。
Header
显示 token metadata,例如 typ、alg,有时也包含 kid,指向签发者使用的 key。
Payload
包含 sub、iss、aud、exp、iat、roles、tenant IDs 或应用自定义授权数据等 claims。
Signature
当服务器用预期 secret 或 public key 验证时,signature 可保护 token 不被篡改。
Expiry
exp claim 常是验证排错最快的线索。格式正确的 token 一旦超出有效期,仍然不能用。
JWT FAQ
JWT 有加密吗?
通常没有。标准 JWT 是 encoded,不是 encrypted,所以拿到 token 的人都能检查 header 和 payload。Signature 只保护完整性。
解码 JWT 会验证它可信吗?
不会。解码只显示 token 内容。信任需要用预期 secret 或 public key 验证 signature,并检查 issuer、audience、expiry 和应用规则。
Token 过期会怎样?
如果 exp claim 已在过去,服务器应拒绝 token,client 必须重新登录或通过正确 refresh flow 取得新的 access token。
我应该把正式环境 token 贴进解码器吗?
请把正式环境 token 当成 credentials。实务上尽量使用短效测试 token,避免把敏感的正式环境 access token 贴到你无法控制的工具。