实用指南

如何安全解码和检查 JWT

JWT 通常由 Header、Payload 和 Signature 三部分组成。解码可以查看其中的声明,但不能证明令牌有效或可信。

打开免费工具

操作步骤

  1. 复制由三段组成的 JWT,并避免带入多余空格。
  2. 把 JWT 粘贴到解码工具中。
  3. 检查 Header 中的算法和 Payload 中的声明。
  4. 重点查看 exp、nbf、iss、aud 和 sub。
  5. 在应用程序中另外执行签名验证。

重要提示

  • 不要把敏感的生产环境令牌粘贴到不可信的网站。
  • 能解码不代表签名有效。
  • JWT 中的 Unix 时间通常以秒为单位。

常见问题

解码后的 JWT 可以直接信任吗?

不可以,必须验证签名和相关声明。

exp 是什么意思?

exp 表示令牌失效的 Unix 时间戳。

相关指南

Base64 编码与解码实用指南如何格式化、验证和修复 JSON如何制作容易扫描的二维码如何创建和管理高强度密码