JWT调试工具 - 解码JWT验证签名检查过期
JWT调试工具
解码JWT Token,查看Header、Payload内容,检查过期时间
JWT Token
JWT 知识介绍
什么是 JWT?
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它是一种紧凑的、URL安全的令牌格式,常用于身份认证和信息交换。JWT 由三部分组成,以点(.)分隔:Header.Payload.Signature
JWT 三段结构
Header(头部)
声明令牌的类型和使用的签名算法
{"alg": "HS256", "typ": "JWT"}Payload(载荷)
存放实际传递的数据(Claims),如用户ID、角色、过期时间等
{"sub": "123", "name": "张三", "exp": 1800000000}Signature(签名)
对前两部分的签名,用于验证数据未被篡改
HMACSHA256(base64(header) + "." + base64(payload), secret)常见签名算法
算法类型说明
HS256对称加密使用同一个密钥签名和验证,最常用HS384对称加密HMAC + SHA-384,安全性更高HS512对称加密HMAC + SHA-512,最高安全级别RS256非对称加密RSA + SHA-256,私钥签名公钥验证ES256非对称加密ECDSA + SHA-256,签名更短更快常用 Claims(声明)
iss签发者(Issuer)sub主题(Subject),通常是用户IDaud受众(Audience)exp过期时间(Expiration Time)nbf生效时间(Not Before)iat签发时间(Issued At)jti唯一标识(JWT ID)⚠️ 安全注意事项
- JWT 的 Header 和 Payload 仅是 Base64 编码,并非加密,任何人都能解码查看内容
- 切勿在 JWT 中存放敏感信息(如密码、身份证号等)
- 生产环境应使用 HTTPS 传输 JWT,防止中间人攻击
- 设置合理的过期时间(exp),避免令牌长期有效
- 推荐使用 RS256 等非对称算法,避免密钥泄露风险
- 服务端应验证签名、过期时间、签发者等所有关键字段
💡 提示:所有计算均在本地完成,不上传任何数据到服务器
更多推荐
查看更多URL 编解码加密工具
Hash 计算加密工具
UUID 生成器加密工具
密码生成器加密工具