Help shape the future of JSON Workbench! We'd love to hear how you use it.

JWT 调试器与安全测试工具

在本地解码、验证和编辑 JSON Web Token。

Token Input
Signing Algorithm

Awaiting JWT Token

Paste encoded JWT token to begin decoding

头部(可编辑)
载荷(可编辑)
SIGNATURE VERIFICATION
未提供密钥
JWT · DEBUGGER
发送反馈
Ln 1, Col 1

JSON Workbench 的 JWT 调试器提供了一个安全的客户端环境,用于解码、验证和编辑 JSON Web 令牌。对于其他数据处理需求,请探索我们的 JSON 格式化程序Base64 解码器JSON 比较文件比较文件夹差异 工具。

如何使用 JWT 调试器

通过三个简单步骤在浏览器中本地解码、检查和验证 JSON Web Token,无需任何服务器请求。

1. 粘贴您的 Token

从您的应用程序、API 客户端或浏览器 DevTools 复制 JWT 并粘贴到左侧的 Token 输入面板中。

2. 检查并编辑

标头和载荷会立即解码为可读的 JSON。编辑任意部分,观察编码后的 Token 实时更新。

3. 验证签名

输入您的 HMAC 密钥或 RSA/EC 公钥,在本地以密码学方式验证 Token 签名,数据不会发送到服务器。

Understanding the JWT Structure

Header

Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.

Payload

The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.

Signature

A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.

常见问题

Q: 在这里粘贴我的 JWT 安全吗?

A: 是的。所有解码和验证操作都完全在您的浏览器中使用 Web Crypto API 进行。您的 Token 永远不会传输到任何外部服务器。

Q: 解码和验证 JWT 有什么区别?

A: 解码只是对 Token 进行 base64 解码以显示标头和载荷——任何人都可以在没有密钥的情况下执行此操作。验证使用您的密钥或公钥以密码学方式确认 Token 由受信任的一方签名且未被篡改。

Q: "alg:none" 警告是什么意思?

A: alg:none 漏洞允许恶意行为者在没有签名的情况下伪造 JWT。当工具检测到使用 alg:none 的 Token 时,会显示警告。

Q: 我可以查看 Token 是否已过期吗?

A: 是的。Claims 检查器面板会自动解析 exp(过期)字段,并显示 Token 是否仍然有效或已过期,同时显示人类可读的日期和时间。

为什么选择 JSON Workbench JWT 调试器?

大多数在线 JWT 工具会将您的 Token 发送到其服务器进行解码。JSON Workbench 不同——每次解码、编码和验证操作都完全在您的浏览器中运行。

100% 本地且私密

您的 Token 永远不会离开您的浏览器。没有日志记录,没有对您 Token 数据的分析,没有服务器往返。

双向编辑

编辑解码后的 JSON,观察原始 Token 即时更新;或粘贴原始 Token,观察 JSON 面板自动填充。

密码学验证

支持 HS256/384/512 HMAC 密钥和 RS256/RS384/RS512 RSA 公钥,提供完整的签名验证功能。