JWT 解码
把 JSON Web Token 拆成 header / payload / signature 三段,自动解析常用 claim(exp / iat / iss 等)。仅做解码,不做签名校验,所有数据不会离开浏览器。
JWT 字符串
请在上方粘贴 JWT
关于本工具
JWT(JSON Web Token)解码工具:把三段式 token(header.payload.signature)拆开,解码 base64url 后展示 header 与 payload 的 JSON 结构;自动解析 alg / iss / sub / aud / iat / exp / nbf 常用 claim,并对 exp 做过期检测——零依赖纯前端实现。
什么时候用
- 调试 OAuth / OIDC 登录返回的 access_token / id_token
- 查看 JWT 是否过期、签发方是谁、scope 包含什么
- 排查 401 / 403:检查 token 里的角色 / 权限 claim 是否正确
- 学习 JWT 结构(base64url 三段、claim 含义)
隐私说明
JWT 通常包含敏感凭证,本工具完全在浏览器内解码,不向任何服务器发送 token。F12 可验证零网络请求。本工具完全在浏览器内运行,输入的数据从不上传到任何服务器,关闭页面即清除。可以在浏览器开发者工具的 Network 面板自行验证:使用过程中无任何向 toolkit.best 的网络请求。
常见问题
- 会校验签名吗?
- 不会。本工具只做解码(base64url + JSON.parse),不验证签名——验证签名需要密钥(HS256)或公钥(RS256),凭证不应粘贴到任何在线工具。
- 支持哪些算法?
- 由于不验签,所有算法(HS256 / RS256 / ES256 / EdDSA / none)都能解码。alg 字段会展示在 claim 摘要表里供你核对。
- Token 已过期怎么显示?
- 如果 payload.exp 早于当前时间,摘要表里会用红色感叹号标记'已过期',并显示具体过期时间。
- 数据会泄漏吗?
- 全部本地解码。即便如此,生产环境的 token 仍建议在内网工具或本地 jwt-cli 里处理。
- 支持 JWE(加密 token,五段式)吗?
- 暂不支持。JWE 是 JWT 的加密变体,多一道解密步骤——后续可能加,但仍不会替你保管密钥。
最近更新: