复制了 Bearer 前缀
Authorization 头通常是 Bearer + token,解码时只需要 token 部分。
删除 Bearer 和空格,仅粘贴三段 JWT 字符串。
JWT 解码
☆ Hot免费 JWT 解码工具,用于本地查看 JWT Header、Payload、claims、iat 和 exp 字段;token 只在浏览器内解析,不上传服务器,适合接口调试和登录问题排查。
JWT 解码工具介绍
JWT 解码工具可在浏览器本地解析 JWT Header 和 Payload,查看 claims、iat、exp 等字段,适合登录态排查、权限字段检查和 API 联调。工具只解码,不验证签名。
如何使用JWT 解码
- 1复制需要查看的 JWT,粘贴到页面顶部的 token 输入框。
- 2点击“解码 JWT”按钮,工具会在浏览器本地解析 Header 和 Payload。
- 3在 Header 区域查看 alg、typ 等头部字段,确认 token 类型和算法声明。
- 4在 Payload 区域查看 sub、iat、exp、scope 或自定义 claims。
常见异常与处理
解码被误认为验签
Payload 可以被伪造,未验签不能作为安全依据。
安全判断必须在服务端使用 secret 或公钥验证签名。
token 不是三段结构
普通 session id、opaque token 或 JWE 不一定能用 JWT 解码器查看。
确认 token 是否为 header.payload.signature 格式。
JWT 解码与签名验证对比
当前工具提供本地解码能力,不进行签名验证。调试时应明确两者边界。
| 操作 | 需要密钥 | 能确认什么 | 不能确认什么 |
|---|---|---|---|
| JWT 解码 | 不需要 | Header、Payload 和 claims 内容 | 无法确认 token 是否被篡改 |
| 签名验证 | 需要 secret 或公钥 | token 是否匹配签名 | 不能单独判断业务权限是否允许 |
| 过期检查 | 不需要 | exp 字段对应的过期时间 | 不能替代服务端时钟和撤销策略 |
| 权限判断 | 通常需要服务端 | 结合 scope/role 做业务判断 | 仅看 Payload 不能作为安全依据 |
JWT 解码示例
JWT Payload 查看示例
JWT
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiI0MiIsInNjb3BlIjoicmVhZCJ9.xxx
Payload
{
"sub": "42",
"scope": "read"
}当前页面只解码 Header/Payload,不做签名验证。
适用场景
登录态排查
查看 token 中的 sub、scope、iat、exp 等字段是否符合预期。
前后端联调
确认接口返回的 bearer token 是否携带角色或权限字段。
过期问题定位
查看 Payload 中 exp 字段,判断用户登录失效是否和过期时间相关。
常见问题
JWT token 会上传到服务器吗?›
不会。Header 和 Payload 解码都在浏览器本地完成,token 不会发送到 KitVerse 服务器。
JWT 解码等于验证签名吗?›
不等于。解码只是读取 Base64URL 编码内容,签名验证需要 secret 或公钥,当前页面不做签名校验。
为什么我的 JWT 解码失败?›
常见原因是复制了 Bearer 前缀、token 不完整、不是三段 JWT,或包含了多余换行和空格。
可以查看 JWT 是否过期吗?›
如果 Payload 中包含 exp 字段,你可以在解码后的 JSON 中查看。当前页面不会把 exp 自动格式化为日期。
解码后的 Payload 可以信任吗?›
只能用于查看内容。未经签名验证的 Payload 不能作为安全判断依据。
这个工具需要登录吗?›
不需要。JWT 解码工具免费使用,打开页面即可本地解析。
可以解码 JWE 加密 token 吗?›
不可以。JWE 是加密结构,需要对应密钥。当前工具面向常见 JWS 格式 JWT 的 Header 和 Payload 查看。
适合在这里粘贴生产 token 吗?›
工具本身不上传 token,但生产 token 仍属于敏感数据。建议只在必要时查看,并避免把结果长期保留在剪贴板或截图中。