security

JWT 解码器

在浏览器本地解码 JWT header 与 payload,查看 exp/iat/nbf 时间字段,并了解签名验证边界。

已解码

Header、payload 与时间字段会在浏览器本地实时更新。

算法HS256
类型JWT
签名demo-signature-not...
仅解码,不验证

本工具只读取 Token 内容,不验证签名、issuer、audience 或信任链。在你的应用完成验证前,请把解码出的声明都视为不可信。

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "DevCove Demo",
  "admin": false,
  "iat": 1700000000,
  "nbf": 1700000000,
  "exp": 4102444800
}

注册时间字段

exp过期时间

有效

Unix 秒
4102444800
本地时间
2100年1月1日 00:00:00
UTC
2100-01-01T00:00:00Z
相对时间
26,883天后
iat签发时间

已签发

Unix 秒
1700000000
本地时间
2023年11月14日 22:13:20
UTC
2023-11-14T22:13:20Z
相对时间
923天前
nbf生效起始时间

有效

Unix 秒
1700000000
本地时间
2023年11月14日 22:13:20
UTC
2023-11-14T22:13:20Z
相对时间
923天前

JWT 课程

系统学习 JSON Web Token:结构、声明、验证边界与实际调试方法。

课程首页

关于此工具

DevCove JWT 解码器帮助开发者在不上传 Token 的情况下查看 JSON Web Token。粘贴 JWT 后可解码 Base64URL header 与 payload,格式化 JSON,查看算法与类型字段,并把 exp、iat、nbf 转成本地时间、UTC 和相对状态。本工具只做 decode,不会声称 Token 可信;真正信任前必须在你的系统中验证签名和声明。

如何使用

当你调试 API 鉴权或 OAuth 流程时,可以用这个 JWT 解码器快速查看 Token 内容:

  1. 粘贴 Authorization header、Cookie、日志或 OAuth 回调中的 JWT,可包含 Bearer 前缀。
  2. 查看解码后的 header,确认 alg 与 typ,了解 Token 声称的签名方式。
  3. 查看 payload JSON,检查 subject、issuer、audience、scope、role 和自定义声明。
  4. 查看 exp、iat、nbf 卡片,对比 Unix 秒、本地时间、UTC 和相对状态。
  5. 需要排查问题时复制 header 或 payload JSON,注意不要泄露敏感字段。
  6. 在后端或身份提供方完成签名与信任规则验证后,才能真正信任任何声明。

功能特点

聚焦开发者排查认证和 API 请求时最常用的信息:

  • 解码 JWT header 与 payload 的 Base64URL 内容。
  • 对两个解码段进行 JSON 格式化展示。
  • 支持带 Bearer 前缀或纯 JWT 字符串。
  • 显示算法、类型和紧凑签名预览。
  • 将 exp、iat、nbf 解释为 Unix 秒、浏览器本地时间、UTC 与相对时间。
  • 明确标记已过期 Token 和尚未生效 Token。
  • 对段数错误、Base64URL 错误、JSON 错误给出清晰提示。
  • 可复制 payload、header 或原始 Token。
  • 100% 浏览器本地处理,Token 不会发送到 DevCove 服务器。
  • 明确提示 decode 不等于 verify,避免误信未验证声明。
  • 链向 JWT 学科课程,学习结构、声明、常见错误与调试方式。

常见问题

这个 JWT 解码器会验证签名吗?

不会。它只解码 header 和 payload 方便查看。签名验证需要正确的密钥或公钥,以及应用中的 issuer、audience、时间和算法规则。

把 JWT 粘贴到这里安全吗?

解码在浏览器本地运行,Token 不会上传到 DevCove。但 JWT 可能是敏感凭证,除非确认安全,否则不要分享解码内容或截图。

JWT 里的 exp 是什么意思?

exp 是过期时间,通常是 Unix 秒。如果 exp 已经早于当前时间,正确验证的应用应该拒绝这个 Token。

decode 和 verify 有什么区别?

decode 只是读取 Base64URL JSON;verify 是证明 Token 由可信签发方签名,并且 aud、iss、exp、nbf 等声明符合你的规则。

为什么 JWT 有三段?

紧凑 JWT 的格式是 header.payload.signature。前两段是 Base64URL 编码的 JSON,第三段是为了传输而编码的签名字节。

解码出的 payload 可以信任吗?

不能只凭解码结果信任。任何人都能伪造类似 Token 的字符串并放入任意 JSON。只有通过签名和声明验证的 Token 才可信。