PixConvert

JWT解码器

粘贴 JWT 令牌,即可在浏览器中立即解码和检查其标头、有效负载和签名。

JWT Token

为什么要使用 PixConvert JWT 解码器

零风险代币检测。您的代币绝不会离开您的设备。

即时解码

粘贴后即可立即解码头部和有效载荷,无需点击任何按钮。

零网络风险

JWT解码完全是在客户端进行base64url解析。令牌永远不会离开您的浏览器。

过期检测

自动检测 exp、iat 和 nbf 声明,并显示人类可读的时间戳以及过期/有效状态。

算法显示

从报头中显示签名算法(RS256、HS256、ES384 等)。

格式化的 JSON

有效载荷以美观的 JSON 格式显示,方便阅读和复制。

版权声明

一键复制完整的有效负载 JSON,粘贴到测试装置或调试会话中。

当您需要 JWT 解码器时

如果能立即看到令牌内容,调试身份验证流程的速度会更快。

API调试

检查 Authorization 标头中的 Bearer 令牌,了解您的 API 接收到的声明。

  • 解码访问令牌
  • 检查用户角色和权限
  • 核实有效期

OAuth 和 OIDC 开发

在 OAuth 2.0 和 OpenID Connect 集成期间解码 ID 令牌和访问令牌。

  • 检查 id_token 声明
  • 验证订阅和电子邮件字段
  • 检查令牌过期时间和 NBF

安全审计

作为安全评估的一部分,审查 JWT 算法和声明——客户端,因此不会暴露令牌。

  • 检测弱算法(无,HS256)
  • 检查索赔范围
  • 检查令牌生命周期

如何解码 JWT 令牌

1

将您的 JWT 令牌粘贴到输入框中。解码器会以点号分隔令牌,并对每一部分进行 base64url 解码。

2

头部和有效载荷以格式化的 JSON 格式显示。标准声明(exp、iat、sub)以易于理解的标签突出显示。

3

检查签名段,即可一目了然地检测过期令牌——所有解码操作均在本地运行,绝不在我们的服务器上进行。

探索更多工具

探索其他可与此工具完美配合使用的免费工具

utility

Base64编码器

对 Base64 字符串进行编码和解码

Try it
utility

JSON格式化程序

立即格式化、验证和压缩 JSON

Try it
utility

哈希生成器

生成 MD5、SHA-1、SHA-256 哈希值

Try it
utility

URL编码器

对 URL 组件进行编码和解码

Try it
utility

密码生成器

生成强随机密码

Try it
utility

UUID生成器

生成 v4 UUID 和 ULID

Try it

常见问题解答

JWT解码详解。

在这里粘贴 JWT 令牌安全吗?

JWT 的头部和有效负载部分采用 base64url 编码,而非加密——任何拥有该令牌的人都可以读取它们。在此处解码它们等同于在您自己的代码中解码它们。用于签名验证的密钥永远不会被解码,也不需要被解码。但是,请像对待密码一样对待 JWT——不要将生产环境中的令牌粘贴到不受信任的工具中。

这样可以验证 JWT 签名吗?

不。签名验证需要私钥(HMAC)或公钥(RSA/ECDSA),您绝不应该将其分享给第三方工具。此解码器仅读取头部和有效载荷(前两个段),根据设计,这两个部分是公开的。

什么是费用索赔?

exp(过期时间)声明是一个 Unix 时间戳(自 Unix 纪元以来的秒数),超过此时间戳后令牌将失效。此工具将其转换为人类可读的日期,并显示令牌当前是有效还是已过期。

access_token 和 id_token 有什么区别?

在 OAuth 2.0/OIDC 中:access_token 用于授权 API 调用,它是不透明的,或者是一个 JWT。id_token 始终是一个 JWT,包含身份声明(sub、email、name)。两者都可以在此处解码。

为什么签名看起来像是随机字符?

签名是头部和有效载荷的加密哈希值,使用颁发者的私钥或密钥进行签名。它是以 base64url 编码的二进制数据,并非设计为人类可读。其目的是验证,而非检查。