• Omnilude Tools在线工具集合
  • 首页
在线工具
  • 开发者工具
    • UUID生成器
    • 时间戳转换器
    • 编码器/解码器
    • 颜色选择器
    • 正则表达式测试器
    • 数据转换
    • 哈希生成器
    • Cron表达式
    • 命名规则转换
    • JWT 调试器
    • 浏览器信息
    • 进制转换
    • Meta标签生成器
    • 密码
  • 文本工具
  • 实用工具
  • 时间工具
  • 计算工具

JWT 调试器

解码和生成 JWT 令牌

编码令牌
无效 JWT

无数据

签名验证 (OPTIONAL)

在下方输入用于签署JWT的密钥:

密钥

验证完全在浏览器中进行,令牌不会发送到外部服务器。

解码后的头部

无数据

解码后的载荷

无数据

签名

无数据

什么是 JWT?

JWT(JSON Web Token)是一种用于在两方之间安全传输信息的开放标准(RFC 7519)。它经过数字签名,因此可以被验证和信任。JWT 可以使用 HMAC 算法或 RSA/ECDSA 公钥/私钥对进行签名。

xxxxx.yyyyy.zzzzz

Header: 算法和令牌类型信息
Payload: 声明(用户信息和元数据)
Signature: 用于令牌完整性验证的签名
注册声明
iss

签发者(Issuer)- 签发令牌的实体

sub

主题(Subject)- 令牌的主题(通常是用户ID)

aud

受众(Audience)- 令牌的预期接收者

exp

过期时间(Expiration)- 令牌过期的 Unix 时间戳

nbf

生效时间(Not Before)- 此时间之前令牌无效

iat

签发时间(Issued At)- 令牌签发的 Unix 时间戳

jti

JWT ID - 令牌的唯一标识符

JWT 使用场景
  • 身份认证

    用户登录后颁发 JWT,在后续请求中验证身份

  • 信息交换

    通过签名验证发送者身份并检测内容篡改

  • 单点登录(SSO)

    使用单个令牌在多个服务之间保持认证

  • API 授权

    微服务之间的安全 API 调用认证

安全注意事项
  • JWT 只是编码而非加密。切勿在载荷中包含敏感信息(密码、信用卡等)。
  • 使用至少 256 位的强密钥。
  • 设置适当的令牌过期时间(exp),并考虑使用刷新令牌模式。
  • 为防止 XSS 攻击,建议将令牌存储在 httpOnly cookie 中而非 localStorage。
  • 生产环境中务必使用 HTTPS,防止令牌在网络中泄露。
支持的算法

HS256

HMAC + SHA-256。最常用的对称密钥算法

HS384

HMAC + SHA-384。比 HS256 更长的哈希,安全性更高

HS512

HMAC + SHA-512。使用最长哈希的对称密钥算法

此工具仅支持基于 HMAC 的对称算法(HS*)。RSA/ECDSA 非对称算法需要单独的公钥/私钥对。

什么是JWT调试器?

JWT调试器是用于解码JSON Web Token、分析标题、有效载荷和签名,以及生成新JWT令牌的工具。可以直观地查看令牌的声明信息(发行者、过期时间、用户信息等),并支持使用HMAC算法(HS256/HS384/HS512)进行签名验证。所有处理都在浏览器中进行,令牌不会泄露到外部。

使用方法

常见问题

使用技巧

Omnilude Tools

为开发者、设计师、创作者提供的免费在线工具集。所有数据均在浏览器本地处理。

开发者工具

  • UUID生成器
  • 时间戳转换器
  • 编码器/解码器
  • 颜色选择器

文本工具

  • JSON编辑器
  • 文本比较
  • 文本计数器
  • Markdown

法律声明

  • 隐私政策
  • 服务条款
  • 服务介绍

© 2026 Omnilude. All rights reserved.