PixoateJWT 解码器 - 解码 JSON Web 令牌并在线检查到期
粘贴任意 JSON Web 令牌即可即时解码其头部和有效载荷,查看签名并检查是否已过期。运行在本地——你的令牌永远不会离开浏览器。
该工具仅解码令牌——不验证签名是否与秘密或公钥进行核实。任何有令牌的人都能读取其有效载荷,所以千万不要在JWT里放秘密。
关于 JSON Web 令牌
JWT由三个Base64URL编码的段组成,中间用点分隔:头部、有效载荷和签名。头描述签名算法,载荷携带声明(如 sub、iat、exp),签名则让服务器验证令牌未被篡改。解码从不需要秘密。
Frequently Asked Questions
粘贴编码后的JWT(长的eyJ...字符串)进入输入框。工具将数据拆分为两个点,Base64URL解码头部和有效载荷,并显示每个节点的JSON和原始签名段——这一切都无需发起任何网络请求。
usage不。解码器仅解析令牌——不会将签名与秘密或公钥进行核对,因为验证需要发行方的密钥材料。使用服务器端的JWT库进行生产验证;这个工具用于检查和调试。
technical你会得到头部(算法和密钥ID)、有效载荷声明(sub、iss、aud、iat、exp 及任何自定义声明)以及原始签名。标准时间戳声明格式为人类可读的日期,方便你一眼识别过期标记。
features如果载荷中包含标准的“exp”声明,工具会将其与当前时间进行比较,并显示“有效至”或“令牌过期时间”,并显示准确的时间戳。没有经验认领的代币会被报告为无过期。
features任何读取JWT有效载荷的人都可以使用,直到有效期结束,因此生产令牌应属于私有工具。该解码器完全运行在浏览器中,且从不传输令牌,但更安全的做法是尽可能解码短命开发令牌。
privacyJWT由三个用点分隔的Base64URL编码段:头部(签名算法)、payload(发卡方希望验证者信任的权利要求)和signature(基于header.payload的MAC或数字签名)。解码从不需要密钥——只有验证需要。
technicalUse Cases
调试OAuth & OpenID 连接流程
解码Auth0、Okta、Cognito和Azure AD返回的访问令牌和ID令牌,用于在本地OAuth集成工作中验证范围、受众和发行者
检查API调用中的授权头
在向后端团队提交工单前,先粘贴失败API请求的持有令牌,确认是租户、角色或过期错误导致的
开发期间检查令牌过期
通过阅读经验申报,发现那些悄无声息破坏你的临时环境的过期代币——无需复制代币到终端或写快速脚本
令牌声明中编码的审计权限
核实自定义声明,如角色、租户和功能标志,以便管理员确认客户令牌授予的准确访问是许可团队预期的
验证单点登录集成
在向所有员工推广前,检查由企业SSO集成产生的SAML和OIDC令牌,以确认组成员身份和属性映射
教导基于令牌的认证
利用解码后的头部、有效载荷和签名面板,解释JWT如何为训练营学生、初级工程师和安全研讨会参与者设计