JWT解析器

解码 JWT(JSON Web Token)的 Header、Payload、Signature,展示载荷声明和过期时间

关于 JWT解析器
  • JWT(JSON Web Token)是一种紧凑的身份验证令牌,由 Header.Payload.Signature 三部分组成
  • 本工具解码 Header 和 Payload(Base64Url 解码),并格式化展示其中的声明(claims)
  • 常用于调试 OAuth2/OpenID Connect 登录流程、检查 Token 有效期和权限范围
操作说明
  • 粘贴完整的 JWT 字符串(格式:xxxxx.yyyyy.zzzzz),点击「解析」
  • 工具会自动识别算法类型、过期时间(exp)、签发时间(iat)等标准声明
  • 支持 Ctrl+Enter 快捷键触发解析
注意事项
  • 本工具仅解码 JWT,不验证签名(签名验证需要密钥,无法在前端安全完成)
  • 请勿将生产环境的真实 Token 粘贴到任何在线工具中
  • 所有处理均在浏览器本地完成,不会上传任何数据
JWT 知识点
什么是 JWT?

JWT(JSON Web Token,RFC 7519)是一种开放标准,用于在各方之间以 JSON 对象的形式安全传输信息。 由于信息经过数字签名,可以被验证和信任。JWT 可以使用 HMAC 算法或 RSA/ECDSA 公私钥对进行签名。

JWT 结构

JWT 由三部分组成,用 . 分隔:

Header.Payload.Signature
Header(头部)

声明令牌类型和签名算法,Base64Url 编码。

{"alg": "HS256",
 "typ": "JWT"}
Payload(载荷)

包含声明(Claims),即关于实体和附加数据的陈述,Base64Url 编码。

{"sub": "1234567890",
 "name": "Zhang San",
 "exp": 9999999999}
Signature(签名)

对 Header 和 Payload 的签名,用于验证消息未被篡改。

HMACSHA256(
  base64(header) + "." +
  base64(payload),
  secret
)
标准声明(Registered Claims)
字段 全称 说明 是否必须
issIssuer签发者,标识签发 JWT 的主体可选
subSubject主题,标识 JWT 所面向的用户可选
audAudience受众,标识 JWT 的接收方可选
expExpiration Time过期时间,Unix 时间戳(秒),超过此时间 Token 失效推荐
nbfNot Before生效时间,在此时间之前 Token 不可用可选
iatIssued At签发时间,Unix 时间戳(秒)推荐
jtiJWT IDJWT 唯一标识符,用于防止重放攻击可选
常用签名算法
算法类型说明适用场景
HS256对称(HMAC)HMAC + SHA-256,使用同一密钥签名和验证单体应用、内部服务
HS384对称(HMAC)HMAC + SHA-384需要更高安全强度的场景
HS512对称(HMAC)HMAC + SHA-512高安全要求场景
RS256非对称(RSA)RSA + SHA-256,私钥签名、公钥验证微服务、第三方验证
ES256非对称(ECDSA)ECDSA + SHA-256,密钥更短、性能更好移动端、IoT 设备
none无签名不签名,存在安全风险,生产环境禁止使用仅测试
安全注意事项
  • JWT Payload 仅做 Base64Url 编码,不加密,任何人都可以解码查看内容,切勿在 Payload 中存放密码、密钥等敏感信息
  • 始终验证签名,拒绝 alg: none 的 Token,防止算法混淆攻击(Algorithm Confusion Attack)
  • 设置合理的 exp 过期时间,避免 Token 长期有效带来的安全风险
  • 使用 HTTPS 传输 JWT,防止中间人截获
  • 将 JWT 存储在 httpOnly Cookie 中比 localStorage 更安全,可防止 XSS 攻击窃取 Token
  • 需要主动吊销 Token 时,可结合黑名单(Redis)或使用短期 Token + Refresh Token 机制

相关工具

AES加解密

AES(高级加密标准)在线加解密工具,支持AES-128、AES-192、AES-256三种密钥长度,以及CBC、ECB、CTR、OFB、CFB等多种加密模式。可自定义密钥和初始向量(IV),支持Base64与Hex两种输出格式。AES是目前最广泛使用的对称加密算法,被美国政府和众多安全协议采用。适用于密码加密存储、API通信数据保护、敏感信息传输等场景。所有加解密操作均在浏览器本地完成,数据不会上传至服务器,保障您的数据隐私安全。

ASCII编解码

ASCII在线编解码工具,支持文本与ASCII码的双向转换。可将普通文本转换为ASCII十进制、十六进制或二进制表示,也可将ASCII码还原为可读文本。支持批量处理,实时显示转换结果。ASCII(美国信息交换标准代码)是最基础的字符编码标准,包含128个字符,涵盖英文字母、数字、标点符号和控制字符。广泛应用于网络协议、文件格式解析、数据传输调试等场景。所有转换在浏览器本地完成,无需上传数据。

Base64在线编解码

Base64在线编解码工具,支持文本与Base64编码的双向转换,以及图片文件转Base64 Data URI格式。提供标准Base64和URL安全Base64(将+替换为-,/替换为_)两种模式。Base64是一种将二进制数据转换为ASCII字符串的编码方式,广泛用于电子邮件附件传输、HTTP Basic认证、JWT令牌、CSS内嵌图片、API数据传输等场景。支持批量处理大文本,实时显示编解码结果,所有操作在浏览器本地完成,保护数据隐私。

AES在线加解密工具

AES(高级加密标准)在线加解密工具,提供简洁易用的加解密界面。支持AES-128、AES-192、AES-256密钥长度,CBC、ECB等加密模式,可自定义密钥和初始向量。AES是目前最安全、应用最广泛的对称加密算法之一,被广泛用于数据库密码加密、文件加密、网络通信安全等场景。工具完全在浏览器本地运行,加解密过程不经过服务器,有效保护您的敏感数据不被泄露,是开发者和安全工程师的实用工具。

DES在线加解密工具

DES(数据加密标准)在线加解密工具,支持标准DES算法的加密和解密操作。可自定义64位密钥,支持CBC、ECB、CFB、OFB等多种加密模式,输出支持Base64和Hex格式。DES是早期广泛使用的对称加密算法,虽然现代安全场景推荐使用AES,但在遗留系统对接和学习密码学原理时仍有重要价值。工具完全在浏览器本地运行,所有加解密操作不上传数据,保护您的数据隐私安全。

Escape编解码

在线Escape编解码工具,支持JavaScript的escape()和unescape()函数对应的编解码操作。将包含特殊字符、中文、非ASCII字符的字符串转换为%XX或%uXXXX格式的编码字符串,以及将编码字符串还原为原始文本。虽然escape()在现代Web开发中已被encodeURIComponent()取代,但在处理遗留代码、Cookie值编码、某些特定协议时仍有使用场景。工具支持批量处理,实时显示编解码结果,所有操作在浏览器本地完成。

HTML转义

在线HTML转义工具,支持HTML特殊字符的转义(编码)和反转义(解码)操作。将<、>、&、"、'等HTML特殊字符转换为对应的HTML实体(&lt;、&gt;、&amp;、&quot;、&#39;),防止XSS跨站脚本攻击。也可将HTML实体还原为原始字符。在Web开发中,将用户输入内容输出到HTML页面前必须进行HTML转义,这是防止XSS攻击的基本安全措施。适用于安全测试、内容展示、代码示例展示等场景,所有处理在浏览器本地完成。

JS加解密

在线JavaScript RSA加解密工具,基于JSEncrypt库实现前端RSA非对称加密。支持使用公钥加密数据、使用私钥解密数据,密钥长度支持512位、1024位、2048位。RSA非对称加密在前端安全中广泛应用,如登录密码加密传输、敏感数据保护等场景。工具提供密钥对生成功能,可直接生成测试用的公私钥对。所有加解密操作在浏览器本地完成,私钥不会上传至服务器,保障密钥安全,是前端安全开发的实用工具。

JS加密混淆

在线JavaScript代码混淆工具,通过变量名替换、字符串加密、控制流扁平化等技术对JS代码进行混淆处理,增加代码逆向工程的难度,保护前端代码逻辑和商业秘密。支持自定义混淆强度,在代码保护程度和运行性能之间取得平衡。混淆后的代码功能完全等同于原始代码,但可读性极低,有效防止竞争对手抄袭核心算法。适用于商业前端项目、游戏逻辑保护、授权验证代码保护等场景,所有处理在浏览器本地完成。

MD5在线加密

在线MD5加密工具,支持对任意字符串生成MD5哈希值,输出32位十六进制字符串。支持大写和小写两种输出格式,可选择UTF-8或GBK编码处理中文字符。MD5(消息摘要算法5)是广泛使用的哈希函数,常用于文件完整性校验(下载文件MD5验证)、密码存储(加盐MD5)、数字签名、数据去重等场景。注意:MD5已被证明存在碰撞漏洞,不建议用于安全敏感场景,推荐使用SHA-256。所有计算在浏览器本地完成,数据不上传服务器。

摩尔斯电码

在线摩尔斯电码编解码工具,支持中文和英文文本与摩尔斯电码的双向转换。英文摩尔斯电码遵循国际标准(ITU),中文摩尔斯电码采用中文电码表(四位数字编码)。输入文本自动转换为点(·)和划(-)组成的摩尔斯电码,也可将摩尔斯电码还原为文字。摩尔斯电码是历史上最重要的通信编码之一,在无线电通信、航海、航空等领域有重要应用,也是密码学和编码学习的经典案例,所有处理在浏览器本地完成。

Native/Unicode转换

在线Native与Unicode编码互转工具,支持中文等非ASCII字符与Unicode转义序列(\uXXXX格式)的双向转换。将包含中文的文本转换为Java properties文件所需的Unicode转义格式(如"你好"转为"\u4F60\u597D"),以及将Unicode转义序列还原为可读的原始文字。在Java国际化(i18n)开发中,properties资源文件需要将非ASCII字符转换为Unicode转义序列。本工具是Java开发者处理多语言资源文件的必备工具,所有处理在浏览器本地完成。

Rabbit加解密

在线Rabbit流加密算法加解密工具,基于CryptoJS库实现。Rabbit是一种高速流加密算法,由Martin Boesgaard等人设计,以其极高的加密速度和良好的安全性著称,特别适合需要高吞吐量的加密场景。支持自定义密钥和初始向量(IV),输出支持Base64和Hex格式。Rabbit算法在嵌入式系统、实时通信加密、大数据流加密等对性能要求较高的场景中有广泛应用。所有加解密操作在浏览器本地完成,数据不上传服务器,保护数据隐私安全。

RC4加解密

在线RC4流加密算法加解密工具,基于CryptoJS库实现。RC4(Rivest Cipher 4)是由Ron Rivest设计的流加密算法,以其简单高效著称,曾被广泛用于SSL/TLS协议和WEP无线网络加密。支持自定义密钥,输出支持Base64和Hex格式。注意:RC4已被发现存在安全漏洞,现代安全协议已弃用RC4,不建议在新项目中使用。本工具主要用于遗留系统对接、密码学学习和研究目的。所有加解密操作在浏览器本地完成,数据不上传服务器。

RSA在线解密工具

在线RSA解密工具,使用RSA私钥对加密数据进行解密。支持PKCS#1和PKCS#8格式的私钥,输入支持Base64和Hex编码的密文。RSA(Rivest-Shamir-Adleman)是最广泛使用的非对称加密算法,基于大整数分解的数学难题,提供极高的安全性。RSA解密常用于接收加密通信、验证数字签名、解密会话密钥等场景。注意:私钥是高度敏感信息,本工具所有操作在浏览器本地完成,私钥不会上传至服务器,请在安全环境中使用。

RSA在线加密工具

在线RSA加密工具,使用RSA公钥对数据进行加密。支持PKCS#1和PKCS#8格式的公钥,密钥长度支持1024位、2048位、4096位,输出支持Base64和Hex编码格式。RSA非对称加密的核心优势是公钥可以公开分发,只有持有对应私钥的人才能解密,广泛用于安全通信、数字签名、密钥交换等场景。本工具适用于前端登录密码加密、API请求签名、敏感数据保护等开发场景,所有加密操作在浏览器本地完成,数据不上传服务器。

SHA在线加密

在线SHA哈希加密工具,支持SHA-1、SHA-224、SHA-256、SHA-384、SHA-512、SHA3-256、SHA3-512等多种SHA算法变体。输入任意文本,生成对应的哈希值,输出支持十六进制大写和小写格式。SHA(安全哈希算法)是目前最广泛使用的密码哈希函数族,SHA-256是比特币等区块链技术的核心算法,SHA-512提供更高安全强度。适用于密码存储(加盐哈希)、文件完整性验证、数字签名、区块链开发等场景,所有计算在浏览器本地完成,数据不上传服务器。

TripleDES在线加解密工具

在线TripleDES(3DES)加解密工具,对数据进行三次DES加密处理,提供比单次DES更高的安全强度。支持CBC、ECB等加密模式,可自定义密钥(112位或168位)和初始向量,输出支持Base64和Hex格式。TripleDES在金融行业(ATM机、POS终端、银行系统)中广泛使用,是许多金融标准(如EMV、ANSI X9.52)的指定加密算法。虽然现代系统推荐使用AES,但在与遗留金融系统对接时仍需使用3DES,所有操作在浏览器本地完成。

Unicode编解码

在线Unicode编解码工具,支持文本与Unicode码点表示(\uXXXX格式)的双向转换。将包含中文、日文、韩文、特殊符号等非ASCII字符的文本转换为Unicode转义序列,以及将Unicode转义序列还原为可读文字。Unicode是现代计算机系统的通用字符编码标准,涵盖全球所有语言的字符。本工具适用于处理多语言字符串、调试编码问题、在不支持Unicode的环境中传输多语言文本、学习字符编码原理等场景,所有处理在浏览器本地完成。

URL编码解码

在线URL编码解码工具,支持URL编码(百分号编码)和解码的双向转换。将URL中的特殊字符(空格、中文、&、=、?等)转换为%XX格式的编码,以及将编码后的URL还原为可读格式。提供encodeURI(编码完整URL)和encodeURIComponent(编码URL参数值)两种编码模式。URL编码在Web开发中不可或缺,用于处理含特殊字符的URL参数、构建API请求、处理表单提交数据等场景。工具支持批量处理,所有操作在浏览器本地完成,数据不上传服务器。

URL在线编解码

在线URL编解码工具,提供简洁易用的URL编码和解码界面。支持将包含中文、空格、特殊符号的文本进行URL编码(转换为%XX格式),以及将URL编码字符串解码还原为原始文本。特别适合处理含中文的URL参数编码、API接口调试时的参数处理、爬虫开发中的URL解析等场景。与urlcode工具互补,提供另一种简洁的操作界面,方便不同使用习惯的开发者选择,所有操作在浏览器本地完成,数据不上传服务器。

UTF-8编解码

在线UTF-8编解码工具,支持文本与UTF-8字节序列的双向转换。将文本转换为UTF-8编码的字节表示(十六进制或十进制格式),以及将UTF-8字节序列还原为可读文字。UTF-8是互联网上最广泛使用的字符编码,能够表示Unicode标准中的任意字符,中文字符通常占用3个字节。适用于调试字符编码问题、理解多字节字符的存储方式、网络协议开发中的字节处理、嵌入式系统字符处理等场景,所有处理在浏览器本地完成,数据不上传服务器。

SSL证书解析

在线SSL/TLS证书解析工具,解析PEM格式的X.509证书,展示证书的主题(Subject)、颁发者(Issuer)、有效期、序列号、公钥算法、SAN(Subject Alternative Name)等详细信息。帮助开发者快速检查证书内容和有效性,所有处理在浏览器本地完成。

自签证书生成器

在线自签名SSL证书生成工具,可生成自签名根证书(Root CA)和服务器证书,配置CN/O/OU/C等证书信息、有效期、密钥长度(2048/4096位)和SAN多域名。支持导出PEM格式的证书和私钥,适用于本地HTTPS开发测试、内网服务器和Docker容器环境,所有处理在浏览器本地完成。

CSR证书请求生成器

在线CSR(证书签名请求)生成工具,填写证书信息(CN/O/OU/C/ST/L)后自动生成CSR文件和对应私钥,用于向CA机构申请SSL证书。支持2048/4096位RSA密钥,输出PEM格式,所有处理在浏览器本地完成,私钥不上传服务器。

图片Base64转换

在线图片与Base64互转工具,支持图片转Base64编码(Data URL格式)和Base64解码还原图片。适用于CSS内嵌图片、HTML邮件图片嵌入等场景,所有处理在浏览器本地完成。

文件哈希校验

在线文件哈希校验工具,支持计算文件的MD5、SHA-1、SHA-256、SHA-512哈希值,用于验证文件完整性和一致性。支持拖拽上传,所有计算在浏览器本地完成,文件不上传服务器。