JWT Bearer 令牌解析器 - 解码 JSON Web Token
免费在线 JWT 解码器和 Bearer 令牌检查工具。在浏览器中即时解码 JWT 头部、载荷并检查过期声明。
什么是 JWT Bearer 令牌解析器?
JWT(JSON Web Token)Bearer 令牌解析器是一款用于解码和展示 Web 身份验证中 JWT 令牌内容的工具。JWT 由三个 Base64URL 编码的部分组成:指定算法的头部(Header)、包含用户身份和过期时间等声明的载荷(Payload)、以及用于验证的签名(Signature)。本工具可解析头部和载荷,让您无需后端或库即可检查 exp、iat、sub、iss 等声明。它还支持完整的 'Bearer' 授权头格式,方便直接粘贴使用。
如何使用 JWT 解析器
- 将您的 JWT 令牌粘贴到输入框中。可以包含 'Bearer ' 前缀,工具会自动去除。
- 工具会立即解码并以格式化 JSON 的形式显示头部(算法、令牌类型)和载荷(声明)。
- 查看时间戳声明:iat(签发时间)、exp(过期时间)和 nbf(生效时间)会被转换为可读日期。
- 如果令牌已过期,会显示红色警告横幅并标注确切的过期时间。
- 使用复制按钮复制解码后的头部或载荷 JSON,用于调试或文档编写。
常见使用场景
- API 调试 — 快速检查 OAuth2 流程返回的访问令牌,验证声明、作用域和过期时间,然后再发起 API 调用。
- 身份验证故障排查 — 当用户报告认证失败时,解码其 JWT 以检查是否已过期、签发者是否正确或是否缺少必要的声明。
- 安全审计 — 审查令牌内容,确保载荷中未暴露敏感数据,并确认头部中指定了正确的算法。
- 开发与测试 — 在开发过程中,验证您的身份提供商签发的令牌是否具有正确的结构、声明和受众值。
FAQ
该工具会验证 JWT 签名吗?
不会。本工具仅解码和显示头部与载荷,不验证签名。签名验证需要签名密钥,该密钥应保留在服务器端。本工具专为检查令牌内容而设计,不用于验证真实性。
在这里粘贴 JWT 令牌安全吗?
安全。所有处理完全在浏览器中通过 JavaScript 进行,不会向任何服务器发送数据。但仍应避免在任何工具中共享具有高权限的生产令牌——请像对待密码一样对待令牌。
Authorization 头中的 'Bearer' 是什么意思?
Bearer 是 RFC 6750 中定义的 HTTP 认证方案。它表示客户端正在出示一个令牌(即 'bearer token')来访问受保护的资源。格式为 'Authorization: Bearer 'token'',其中令牌通常是 JWT。
为什么我的令牌显示为已过期?
工具会将令牌载荷中的 'exp'(过期时间)声明与您当前的本地时间进行比较。如果过期时间戳已过去,则令牌被标记为已过期。请注意,您的机器与签发服务器之间的时钟偏差有时可能导致误报。