JWT 调试器与安全测试工具
在本地解码、验证和编辑 JSON Web Token。
Awaiting JWT Token
Paste encoded JWT token to begin decoding
在本地解码、验证和编辑 JSON Web Token。
Paste encoded JWT token to begin decoding
JSON Workbench 的 JWT 调试器提供了一个安全的客户端环境,用于解码、验证和编辑 JSON Web 令牌。对于其他数据处理需求,请探索我们的 JSON 格式化程序、Base64 解码器、JSON 比较、文件比较 和 文件夹差异 工具。
通过三个简单步骤在浏览器中本地解码、检查和验证 JSON Web Token,无需任何服务器请求。
从您的应用程序、API 客户端或浏览器 DevTools 复制 JWT 并粘贴到左侧的 Token 输入面板中。
标头和载荷会立即解码为可读的 JSON。编辑任意部分,观察编码后的 Token 实时更新。
输入您的 HMAC 密钥或 RSA/EC 公钥,在本地以密码学方式验证 Token 签名,数据不会发送到服务器。
Header
Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.
Payload
The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.
Signature
A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.
A: 是的。所有解码和验证操作都完全在您的浏览器中使用 Web Crypto API 进行。您的 Token 永远不会传输到任何外部服务器。
A: 解码只是对 Token 进行 base64 解码以显示标头和载荷——任何人都可以在没有密钥的情况下执行此操作。验证使用您的密钥或公钥以密码学方式确认 Token 由受信任的一方签名且未被篡改。
A: alg:none 漏洞允许恶意行为者在没有签名的情况下伪造 JWT。当工具检测到使用 alg:none 的 Token 时,会显示警告。
A: 是的。Claims 检查器面板会自动解析 exp(过期)字段,并显示 Token 是否仍然有效或已过期,同时显示人类可读的日期和时间。
大多数在线 JWT 工具会将您的 Token 发送到其服务器进行解码。JSON Workbench 不同——每次解码、编码和验证操作都完全在您的浏览器中运行。
100% 本地且私密
您的 Token 永远不会离开您的浏览器。没有日志记录,没有对您 Token 数据的分析,没有服务器往返。
双向编辑
编辑解码后的 JSON,观察原始 Token 即时更新;或粘贴原始 Token,观察 JSON 面板自动填充。
密码学验证
支持 HS256/384/512 HMAC 密钥和 RS256/RS384/RS512 RSA 公钥,提供完整的签名验证功能。