JWT 是什么?
JWT(JSON Web Token)是一种用于身份验证和信息交换的开放标准(RFC 7519)。它由三部分组成,用点号分隔:Header.Payload.Signature
JWT 结构详解
Header(头部)
包含令牌类型(通常是 JWT)和使用的签名算法(如 HS256、RS256、ES256)。Base64URL 编码。
{
"alg": "HS256",
"typ": "JWT"
}Payload(载荷)
包含声明(claims),分为三类:注册声明(如 exp 过期时间、sub 用户ID)、公开声明(自定义)、私有声明(双方约定)。
{
"sub": "1234567890",
"name": "John Doe",
"exp": 1699999999,
"iat": 1699996399
}Signature(签名)
将编码后的 Header 和 Payload 用指定算法加密,验证数据没有被篡改。
在线解码
使用 JWT 解码器 无需服务器,直接在浏览器解析 JWT:
- 粘贴 Token 到输入框
- 实时显示 Header 和 Payload 的 JSON 格式化内容
- 查看各字段含义和有效期
- 复制解析结果
HS256 vs RS256
HS256:对称加密,签名和验证使用同一密钥。适合服务端内部使用,不需要公钥分发。
RS256:非对称加密,签名用私钥,验证用公钥。适合开放 API(如 OAuth),客户端可以使用公钥验证令牌真实性。
常见问题
Q: Token 过期了怎么查?
看 Payload 里的 exp 字段,是 Unix 时间戳。可以用 Unix 时间戳转换工具直接转成北京时间。
Q: JWT 安全吗?
Token 本身只做了 Base64 编码(不是加密!),敏感信息不要写在 Payload 里。签名可以防止篡改,但不能防止信息泄露。
Q: 如何安全存储 Token?
推荐 HttpOnly Cookie(防 XSS),避免 localStorage 存储(可被 XSS 窃取)。
常见问题
Q: 如何使用 jwt解码器 相关工具?
A: 这类工具一般有明确的输入框和输出框,按提示输入内容,点击对应按钮即可得到结果。建议先用简单示例测试功能是否正常,再处理实际数据。
A: 这类工具一般有明确的输入框和输出框,按提示输入内容,点击对应按钮即可得到结果。建议先用简单示例测试功能是否正常,再处理实际数据。
Q: jwt解码器 适合在什么场景使用?
A: 根据具体工具类型决定。格式转换工具适合处理第三方数据,编码工具适合加密传输,压缩工具适合文件上传前处理。多积累工具使用经验,遇到问题时能快速判断用哪个工具解决。
A: 根据具体工具类型决定。格式转换工具适合处理第三方数据,编码工具适合加密传输,压缩工具适合文件上传前处理。多积累工具使用经验,遇到问题时能快速判断用哪个工具解决。
Q: 有没有更好的替代工具?
A: 不同工具有不同侧重,重点是理解原理。可以同时安装多个类似工具,实际使用中对比效果,选择最顺手的一个。随着使用经验增加,你也能判断工具的好坏。
A: 不同工具有不同侧重,重点是理解原理。可以同时安装多个类似工具,实际使用中对比效果,选择最顺手的一个。随着使用经验增加,你也能判断工具的好坏。