JWT 解碼器
解碼並檢查 JSON Web Token
使用方法
貼上或輸入內容
在輸入區域輸入您的文字、程式碼或資料。
選擇選項
選取要套用的轉換方式或格式。
複製結果
一鍵將輸出結果複製到剪貼簿。
為什麼使用此工具
100% 免費
沒有隱藏費用,沒有付費等級——所有功能完全免費。
無需安裝
完全在瀏覽器中運行。無需下載或安裝任何軟體。
隱私且安全
您的資料永遠不會離開您的裝置。不會上傳至任何伺服器。
支援行動裝置
完全響應式設計——在手機、平板或桌面電腦上均可使用。
JWT 解碼完全指南:理解 JSON Web Token 的結構與安全性
重點摘要
- JWT 由三部分組成:Header(演算法)、Payload(資料)、Signature(簽章)
- JWT 的 Payload 是 Base64 編碼而非加密——任何人都可以讀取內容
- 永遠在伺服器端驗證 JWT 的簽章,不要只信任 Payload 的內容
JWT(JSON Web Token)是現代 Web 應用中最常見的身份驗證和授權機制。它是一個經過編碼的字串,包含使用者身份資訊和權限宣告。JWT 解碼工具能讓你快速檢視 Token 的內容,包括發行者、過期時間和自訂宣告,是 API 開發和除錯的必備工具。
xxxxx.yyyyy.zzzzz
JWT 的三段式結構
常見用途
API 認證除錯
當 API 回傳 401 Unauthorized 時,解碼 JWT 可以檢查 Token 是否已過期(exp 欄位)、發行者是否正確(iss 欄位)、或權限是否足夠。
Token 內容檢查
在前後端分離的架構中,前端需要知道 Token 中包含哪些使用者資訊(如角色、權限),以決定 UI 的顯示邏輯。
SSO 整合測試
整合 OAuth 2.0 / OpenID Connect 時,需要解碼 ID Token 檢查各個 Claim 是否正確,如 sub(主體)、aud(受眾)、nonce 等。
安全審計
安全工程師檢查 JWT 中是否包含過多敏感資訊(如明文密碼、信用卡號),以及簽章演算法是否安全(應避免 none 和 HS256 搭配弱密鑰)。
實用技巧
JWT 有過期時間(exp),但客戶端的時鐘可能不準——伺服器端驗證最可靠。
不要在 JWT Payload 中放置敏感資訊(密碼、個資),因為 Base64 解碼後任何人都能看到。
Refresh Token 機制可以在 Access Token 過期後靜默更新,提升使用者體驗。
演算法(alg)欄位值為 none 是已知的攻擊向量——伺服器必須拒絕此設定。
本工具所有運算皆在您的瀏覽器本地完成,不會上傳任何資料至伺服器。內容僅供參考,請依實際需求進行驗證。