PixoateJWT 解码器 - 在线解码 JSON Web Token 并检查过期时间
粘贴任意 JSON Web Token,即可立即解码其头部和载荷、查看签名,并检查是否已过期。本地运行——你的令牌绝不会离开浏览器。
此工具仅解码令牌——它不会对照密钥或公钥校验签名。任何持有该令牌的人都能读取其载荷,因此切勿在 JWT 中放入机密信息。
JWT 解码已完成?不妨试试这些
与 JWT 解码器搭配使用的精选工具。继续编辑,不丢失你的文件。
Base64 编码器 / 解码器
将任意文本或文件编码为 Base64(含 URL 安全变体),或将 Base64 解码还原为文本。UTF-8 安全。
立即试用哈希生成器
使用浏览器的 Web Crypto API 计算任意文本或文件的 SHA-1、SHA-256、SHA-384 和 SHA-512 十六进制摘要。
立即试用JSON 美化
在浏览器中格式化、校验和压缩 JSON。可使用 2 / 4 / 8 空格缩进美化,或压缩为单行,并支持复制和下载。
立即试用URL 编码器 / 解码器
对 URL 组成部分或整个 URL 进行百分号编码,并可解码还原。支持 encodeURIComponent 与 encodeURI 两种模式。
立即试用密码生成器
生成长度可达 128 个字符的高强度密码学随机密码,并实时估算熵值。
立即试用文本差异比较
逐行比较两段文本。支持分栏或合并视图,可选择忽略空白和忽略大小写。
立即试用Frequently Asked Questions
将编码后的 JWT(以 eyJ… 开头的长字符串)粘贴到输入框中。工具会按两个点将其分割,对头部和载荷进行 Base64URL 解码,并分别显示各自的 JSON 以及原始签名段——整个过程不发起任何网络请求。
usage不会。解码器只解析令牌——它不会用密钥或公钥校验签名,因为验证需要签发方的密钥材料。生产环境的验证请使用服务端的 JWT 库;本工具仅用于查看和调试。
technical你会获得头部(算法和密钥 id)、载荷声明(sub、iss、aud、iat、exp 以及任何自定义声明)和原始签名。标准的时间戳声明会被格式化为易读的日期,让你一眼就能发现过期的令牌。
features如果载荷中包含标准的 "exp" 声明,工具会将其与当前时间进行比较,并显示「有效期至」或「令牌已于……过期」以及精确的时间戳。不含 exp 声明的令牌会被标注为永不过期。
features任何人只要能读取 JWT 的载荷,便可在其过期前使用它,因此生产环境的令牌应只在私密工具中处理。本解码器完全在你的浏览器中运行,绝不会传输令牌,但更稳妥的做法是尽量只解码生命周期较短的开发令牌。
privacyJWT 由三段以点分隔的 Base64URL 编码片段组成:头部(签名算法)、载荷(签发方希望验证方信任的声明)和签名(对 header.payload 计算的 MAC 或数字签名)。解码从不需要密钥——只有验证才需要。
technicalHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
调试 OAuth 与 OpenID Connect 流程
在本地 OAuth 集成工作中,解码 Auth0、Okta、Cognito 和 Azure AD 返回的访问令牌和 ID 令牌,以验证作用域、受众和签发者
检查 API 调用中的 Authorization 请求头
在向后端团队提交工单之前,粘贴失败 API 请求中的 bearer 令牌,确认问题是否出在错误的租户、角色或过期时间上
在开发过程中检查 Token 是否过期
通过读取 exp 声明,发现那些悄悄破坏你测试环境的过期令牌——无需把令牌复制到终端或临时写一段脚本
审计令牌声明中编码的权限
验证角色、租户和功能开关等自定义声明,让管理员能够确认某位客户的令牌所授予的权限与授权团队的预期完全一致
验证单点登录集成
检查企业 SSO 集成生成的 SAML 和 OIDC 令牌,在向全体员工推广前确认用户组归属和属性映射
讲解基于令牌的身份验证
借助解码后的头部、载荷和签名面板,向训练营学员、初级工程师和安全研讨会参与者讲解 JWT 的结构