JWT 解码工具
解码并检查 JSON Web Token 的头部和载荷。
正在加载工具…
JWT 解码工具 — 粘贴 JWT 即可立即查看解码后的头部和载荷,iat、nbf、exp 时间声明会显示为易读的日期,并实时标注已过期/有效。解码完全在浏览器中进行,令牌不会被发送到任何地方——但请注意此处不验证签名,在服务端校验签名之前切勿信任载荷内容。
JWT 解码工具 是什么?
JWT Decoder 是一款免费的在线工具,用于解码并查看 JSON Web Token(JWT),让开发者无需猜测即可读取访问令牌、ID 令牌或 Bearer 令牌的内容。只需粘贴标准的 header.payload.signature 格式令牌,它便会对 header 和 payload 进行 base64url 解码,将两者格式化输出为美观的 JSON,并把 iat、nbf、exp 等时间声明渲染为易读的日期,同时附带实时的“已过期/有效”状态标记。它专为调试身份验证流程、OAuth/OIDC 会话或令牌过期问题的后端与前端工程师、QA 测试人员以及 API 集成人员打造。请注意,这是解码器而非验证器——它不会校验签名,因此仅供查看之用。
如何使用 JWT 解码工具
- 从你的应用、浏览器开发者工具或 Authorization: Bearer 请求头中复制 JWT(header.payload.signature)。
- 将其粘贴到“JWT token”文本框中。
- 在输入框下方的 Header 和 Payload 区域查看已解码、格式化的 JSON。
- 如果 payload 中包含 iat、nbf 或 exp,请查看 Issued (iat)、Not before (nbf)、Expires (exp) 统计卡片以及“已过期/有效”标记,以了解令牌的有效期。
- 点击 Header 或 Payload 上的“复制”按钮即可复制格式化后的 JSON,或点击“清除”重置输入。
示例
解码 JWT 头部
输入
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig
输出
{
"alg": "HS256",
"typ": "JWT"
}Header 区域显示第一段经过解码、格式化的 JSON。
查看过期声明
粘贴 payload 中包含 exp/iat/nbf 的令牌。工具会把每个以秒为单位的纪元时间声明转换为易读的本地日期,并在 Expires (exp) 值旁显示绿色“有效”或红色“已过期”标记,每秒刷新一次。
格式错误的令牌
输入
not-a-jwt
输出
Malformed token — expected header.payload.signature
如果字符串至少不包含 header 和 payload 两段(缺少点号分隔),则会触发此错误而非进行解码。
常见问题
- 这个工具会验证 JWT 签名吗?
- 不会。它仅解码并显示 header 和 payload——不会验证签名。在服务端校验签名之前,切勿信任解码后的 payload;请将输出仅作查看之用。
- 它需要什么样的令牌格式?
- 一个至少包含 header.payload 部分的标准 JWT(header.payload.signature)。它按点号拆分并对前两段进行 base64url 解码,因此解码过程中会忽略签名部分。
- 它会显示哪些时间声明?
- 它会呈现标准的数字纪元秒声明 iat(签发时间)、nbf(生效时间)和 exp(过期时间),并将每个声明格式化为易读的本地日期。它会标记已过期的令牌,并在 nbf 处于未来时间、令牌尚未生效时发出提示。仅当至少存在其中一个声明时,统计卡片才会出现。
- 我的令牌会被上传或发送到任何地方吗?
- 不会。所有处理都使用内置的 base64 和 JSON 解码完全在你的浏览器中本地运行——你的令牌绝不会上传到任何服务器,因此可以安全地查看敏感的访问令牌。
- 为什么看起来正常的令牌会报错?
- 如果输入少于两段,或 header/payload 为空,你会看到“Malformed token”(令牌格式错误)提示;如果某一段不是有效的 base64url 编码 JSON,你会看到“invalid”(无效)错误。请确认你粘贴的是完整令牌,且没有多余的空格或包裹的引号。