使用实时处理和安全检查验证JSON Web Tokens
专业工具
粘贴任何JWT,即可立即看到带有颜色编码显示的解码后的头部、负载和签名
支持HMAC(HS256/384/512)、RSA(RS256/384/512)、ECDSA(ES256/384/512)和PSS算法
自动检测并显示令牌过期状态,显示剩余时间或自过期以来的时间
显示所有标准声明(iss、sub、aud、exp、iat)和自定义声明,带有人类可读的标签
使用自定义头部、负载和密钥创建新的JWT令牌,用于测试和开发
所有令牌处理都在您的浏览器中进行 — 您的密钥和令牌永远不会发送到任何服务器
常见问题
JWT(JSON Web Token)是用于认证的紧凑令牌格式。它有三个用点分隔的Base64URL编码部分:头部(算法和类型)、负载(用户ID和过期时间等声明)和签名(令牌未被篡改的密码学证明)。
是的。所有解码都在您的浏览器本地进行 — 不会将数据发送到任何服务器。但请记住,JWT负载只是Base64编码,而不是加密的。任何拥有令牌的人都可以读取负载,因此永远不要将秘密放入JWT声明中。
HS256使用共享密钥(对称)— 创建者和验证者需要相同的密钥。RS256使用公钥/私钥对(非对称)— 创建者用私钥签名,任何人都可以用公钥验证。对于公共API请使用RS256。
粘贴令牌,我们的工具会自动读取'exp'声明并与当前时间比较。它显示令牌是有效的、已过期的还是没有设置过期时间,以及精确的剩余时间或经过时间。
是的。输入自定义头部和负载,提供一个密钥,工具就会生成一个签名的JWT。这对于在本地测试API认证、创建开发用的模拟令牌以及学习JWT签名工作原理非常有用。
JWT负载是Base64编码的,不是加密的 — 任何拥有令牌的人都可以解码并读取内容。只在JWT中存储非敏感标识符(用户ID、角色、过期时间)。将敏感数据保留在服务器端,通过ID引用。