关键信息
- 分类
- 安全与校验
- 输入类型
- textarea, text
- 输出类型
- html
- 样本覆盖
- 4
- 支持 API
- Yes
概览
JWT 解码与安全审计器是一款专为全栈开发和安全工程师设计的在线工具。它不仅能快速解析 JWT 的 Header 和 Payload,还支持通过 HMAC 密钥或 RSA 公钥校验 HS256 和 RS256 签名。同时,工具会自动审计 Token 中的算法漏洞、过期时间(exp)以及敏感 Claim 风险,帮助您高效排查授权问题并提升系统安全性。
适用场景
- •在前后端联调时,需要快速查看 JWT 内部携带的用户身份和权限信息。
- •排查接口 401/403 授权错误,验证 Token 签名是否正确或是否已过期。
- •进行系统安全审查,检查 JWT 是否存在弱算法或敏感信息泄露风险。
工作原理
- •将待解析的 JWT 字符串粘贴到输入框中,工具会自动分离并解码 Header 和 Payload 部分。
- •(可选)输入 HMAC 密钥或 RSA 公钥(PEM 格式),工具将自动计算并比对签名,验证 Token 的完整性。
- •系统会扫描解码后的 Claims,检查 exp、nbf 等时间戳,并标记潜在的安全风险或敏感字段。
- •最终在页面上直观输出解码结果、签名校验状态以及安全审计报告。
使用场景
前端开发者在调试登录接口时,确认后端返回的 Token 中是否正确包含了用户的角色(role)和 ID(sub)。
后端工程师排查微服务间的鉴权失败问题,验证网关转发的 JWT 签名是否与本地公钥匹配。
安全测试人员在渗透测试中,分析目标系统的 JWT 结构,寻找未校验签名或敏感信息明文传输的漏洞。
用户案例
1. 排查用户登录 Token 过期问题
全栈工程师- 背景原因
- 用户反馈登录系统后很快就被踢出,提示 Token 无效。
- 解决问题
- 需要确认后端生成的 JWT 过期时间(exp)设置是否正确。
- 如何使用
- 将用户报错时的 JWT 粘贴到 JWT Token 输入框中,直接查看解码结果。
- 效果
- 工具成功解码 Payload,显示 exp 时间戳,发现过期时间仅设置为 5 分钟,帮助工程师快速定位了配置错误。
2. 验证微服务 RS256 签名
后端开发- 背景原因
- 新上线的微服务在解析网关下发的 JWT 时频繁报错,怀疑是公钥配置错误或签名不匹配。
- 解决问题
- 需要使用本地的 RSA 公钥验证网关生成的 Token 签名是否合法。
- 如何使用
- 在 JWT Token 中填入网关生成的 Token,在 RSA 公钥 PEM 中填入微服务使用的公钥证书内容。
- 效果
- 工具输出签名校验失败,并提示公钥格式或内容不匹配,协助开发者发现并更新了过期的公钥文件。
3. JWT 安全审计与敏感信息检查
安全工程师- 背景原因
- 在对公司内部系统进行例行安全检查时,需要评估认证模块的安全性。
- 解决问题
- 检查 JWT 中是否包含不应暴露的敏感信息,以及签名算法是否合规。
- 如何使用
- 输入抓包获取的 JWT,并填入对应的 HMAC 密钥进行完整审计。
- 效果
- 审计报告高亮提示 Payload 中明文传输了用户手机号,且未设置 exp 过期时间,生成了直观的安全修复建议。
用 Samples 测试
security常见问题
这个工具支持哪些签名算法的校验?
目前支持最常见的对称加密算法 HS256(需提供 HMAC 密钥)和非对称加密算法 RS256(需提供 RSA 公钥 PEM)。
我的 JWT Token 会被上传到服务器保存吗?
不会。所有的解码和签名校验过程均在安全隔离的环境中实时处理,不会持久化存储您的 Token 或密钥。
为什么解析出的 Payload 包含乱码?
标准的 JWT Payload 必须是有效的 Base64Url 编码的 JSON 字符串。如果出现乱码,可能是 Token 格式损坏或未遵循 JWT 标准。
工具能检查出哪些安全风险?
工具会自动检查 Token 是否过期、是否使用了不安全的 none 算法,以及 Payload 中是否明文包含了密码等常见敏感字段。
如果不提供密钥,还能解码 JWT 吗?
可以。JWT 的 Header 和 Payload 仅经过 Base64Url 编码,并未加密。不提供密钥依然可以查看明文内容,但无法验证签名是否被篡改。