解析 JSON Web Token 的 Header 與 Payload,並校驗 HS/RS 簽名,全部在瀏覽器本地完成
• 解碼:Base64Url 解析三段,時間欄位(iat/exp/nbf)轉本地時間,exp 過期高亮
• 驗籤:根據 Header.alg 選 HS/RS,填對應金鑰 / 公鑰校驗簽名真偽
• Token 不上傳,所有解析與校驗在瀏覽器本地完成
JWT(JSON Web Token)解碼工具將 Base64url 編碼的 JWT 字串拆解為 Header、Payload 和 Signature 三部分,格式化展示其中的欄位,包括演算法型別(alg)、簽發時間(iat)、過期時間(exp)、受眾(aud)和自定義 Claims 等。同時提示 Token 是否已過期。
常見用途:除錯登入/鑑權流程時檢視 Token 中攜帶的資訊、確認 exp 欄位排查 Token 過期問題、檢查 alg 欄位確認簽名演算法是否符合預期、對接第三方服務時理解對方下發的 Token 結構。注意:本工具僅解碼,不驗證簽名真實性。
本工具僅對 Base64url 進行解碼展示內容,不驗證簽名真實性。驗證簽名需要持有金鑰(HMAC 的共享金鑰或 RSA/EC 的公鑰)。在生產環境中驗證 JWT 應使用你的後端程式碼配合完整金鑰執行。
Header 包含演算法(alg)和型別(typ);Payload 包含 Claims(宣告)如 sub(主體)、iat(簽發時間)、exp(過期時間)以及自定義欄位;Signature 是用金鑰對 Header+Payload 做簽名的結果,用於驗證 Token 未被篡改。
JWT Payload 只是 Base64url 編碼,任何人都可以直接解碼檢視內容,沒有加密保護。不要在 Payload 中存放密碼、私鑰等敏感資訊。若需要加密,應使用 JWE(JSON Web Encryption)。
極度不安全。alg: none 表示不驗證簽名,偽造任意 Payload 的 Token 都能通過驗證。服務端必須明確拒絕 alg: none 的 Token,庫程式碼中應強制指定允許的演算法白名單。