解析 JSON Web Token 的 Header 与 Payload 免费在线工具,无需登录、无需注册。
本地运行个人数据安全
Loading Tool Engine
使用说明与技术 FAQ
分步操作与原理说明使用说明
- 粘贴完整 JWT(建议 `header.payload.signature` 三段);若工具支持也可仅贴前两段做只读解析。
- 解析后逐项核对 `alg`、`typ`、`kid` 以及 `exp`/`nbf`/`iat`,注意时间为秒级 NumericDate。
- 若提供验签,准备正确公钥/JWK 与算法;错钥会验签失败,不一定是 Token 本身损坏。
- 对 `aud`、`iss`、`sub` 等声明与业务期望交叉检查,避免「能解码但不该授权」的情况。
- 复制到文档或聊天前脱敏:去掉内网 URL、邮箱、PII 与细粒度 scope。
- 解析失败时检查是否含 `Bearer ` 前缀、换行、URL 编码残留或被「智能引号」破坏。
- 排查过期类问题时确认对端是否关闭校验、是否存在时钟 skew 或使用缓存的旧 Token。
- 对照原始字符串与解析结果,确认未对 `.` 分段做 HTML 转义、截断或中间插入空格。
- 团队内约定开发环境是否允许 `none` 算法自测;生产必须在网关/资源服务器强制校验 `alg`。
- 存档排查记录时可记下浏览器版本、是否粘贴自剪贴板历史及所用选项,便于复现。
- 先阅读页面标题与简介,确认当前工具覆盖的场景与你的任务一致(避免用错工具导致理解偏差)。
- 在输入区粘贴或键入数据;若页面提供「示例 / 模板」,可先载入再替换为自己的内容以熟悉输出格式。
相关技术知识
- JWT 常见为 JWS:Header/Payload 为 Base64URL(JSON);Payload 非加密,仅编码。
- 解码与展示在浏览器内存完成;勿将生产 Token 长期留在开放录屏或共享文档。
- `alg=none`、算法混淆(如误用 HS256 与 RSA 公钥)是典型漏洞模式,须服务端严格校验。
- Base64URL 与标准 Base64 在 `+/` 与填充上不同,人工核对时注意别混用解码方式。
- JWE(通常五段)与 JWS 流程不同;本页若为 JWS 工具,对 JWE 可能无法完整解密。
- 旋转密钥场景依赖 `kid` 选择验证钥;缺失时要有服务端默认策略与回滚方案。
- 嵌套 JWT 会把另一段 Token 嵌在 claim 里,排障需逐层展开并分别校验。
- 与 OAuth2/OIDC 联用时区分 access_token 与 id_token 的受众、scope 与校验责任边界。
- 日志中打印完整 JWT 会泄露会话;生产应只记 `jti`/hash 或截断后几位。
- 本工具侧重开发调试;线上颁发与校验仍应以权威库与审计过的实现为准。
- 本类工具的核心解析与计算在浏览器端执行,默认不把原始业务载荷持久化到本站服务器(具体以页面隐私说明为准)。
- 处理管线通常为:读取输入 → 词法/语法或结构化解析 → 规则变换 → 格式化输出;任一步失败都会尽量给出可定位错误信息。