JWT Token 解码器
解码 JWT Token,查看 Header、Payload 和签名信息
常见问题
什么是 JWT?JWT Decoder 有什么作用?
JWT(JSON Web Token)是一种由 Header、Payload、Signature 三段以 `.` 分隔的紧凑令牌,常用于用户身份认证、接口授权和单点登录。JWT Decoder 将这三段分别 Base64URL 解码并还原成 JSON,让你直观看到算法、过期时间(exp)、用户 ID(sub)等 Claims。
这个工具能帮我做什么?
典型用途包括:排查登录失败时 Token 是否过期、确认后端下发的 Payload 字段是否正确、调试第三方 OAuth/OIDC 集成、检查 `kid`/`alg` 等 Header 字段、向团队成员展示 Token 内容但不泄露签名秘钥。
解码 JWT 等于验证 JWT 吗?
不等于。解码只是把 Base64URL 段拆开展示,任何人都能做;验证则需要用对应的密钥(HMAC 的 secret 或 RSA/ECDSA 的公钥)重新计算签名并比对。本工具专注解码与 Claims 可视化,不会替你做加密验签——生产环境务必在后端完成签名校验。
为什么我的 Token 会提示格式错误?
JWT 必须包含三段且每段是合法的 Base64URL(使用 `-`、`_`、无 `=` 填充)。常见错误:复制时把 Token 切断、把 `Bearer ` 前缀一并粘贴、Cookie 中 Token 被 URL 编码多一层。请确认只有三段、每段字符集合法后再试。
我的 Token 会被上传或记录吗?
不会。解码完全在浏览器端运行,Token 不会传输到服务器,也不会写入任何日志。调试含生产环境 Token 的场景也能放心使用。
JWT、Session、API Key 三者该怎么选?
Session 需要服务端存储用户态,适合单体应用;API Key 通常长期有效,适合机器间调用;JWT 自带 Claims 可无状态验证,适合分布式系统和微服务。缺点是 JWT 一旦签发很难即时吊销,所以敏感场景常搭配短过期时间 + Refresh Token。