1. 排查用户登录 Token 过期问题
全栈工程师背景
用户反馈登录系统后很快就被踢出,提示 Token 无效。
问题
需要确认后端生成的 JWT 过期时间(exp)设置是否正确。
如何使用
将用户报错时的 JWT 粘贴到 JWT Token 输入框中,直接查看解码结果。
结果
工具成功解码 Payload,显示 exp 时间戳,发现过期时间仅设置为 5 分钟,帮助工程师快速定位了配置错误。
Elysia Tools
导航
Security
解码 JWT Header/Payload,校验 HS256 或 RS256 签名,并检查算法、过期时间与敏感 claim 风险
详情
适合全栈或安全工程师快速排查 token 问题、验证签名并理解 claim 变更带来的授权行为。
执行
填写表单、运行工具,并在同一页面查看结果。
案例
相关内容
等待运行
工具使用指南
JWT 解码与安全审计器是一款专为全栈开发和安全工程师设计的在线工具。它不仅能快速解析 JWT 的 Header 和 Payload,还支持通过 HMAC 密钥或 RSA 公钥校验 HS256 和 RS256 签名。同时,工具会自动审计 Token 中的算法漏洞、过期时间(exp)以及敏感 Claim 风险,帮助您高效排查授权问题并提升系统安全性。
背景
用户反馈登录系统后很快就被踢出,提示 Token 无效。
问题
需要确认后端生成的 JWT 过期时间(exp)设置是否正确。
如何使用
将用户报错时的 JWT 粘贴到 JWT Token 输入框中,直接查看解码结果。
结果
工具成功解码 Payload,显示 exp 时间戳,发现过期时间仅设置为 5 分钟,帮助工程师快速定位了配置错误。
背景
新上线的微服务在解析网关下发的 JWT 时频繁报错,怀疑是公钥配置错误或签名不匹配。
问题
需要使用本地的 RSA 公钥验证网关生成的 Token 签名是否合法。
如何使用
在 JWT Token 中填入网关生成的 Token,在 RSA 公钥 PEM 中填入微服务使用的公钥证书内容。
结果
工具输出签名校验失败,并提示公钥格式或内容不匹配,协助开发者发现并更新了过期的公钥文件。
背景
在对公司内部系统进行例行安全检查时,需要评估认证模块的安全性。
目前支持最常见的对称加密算法 HS256(需提供 HMAC 密钥)和非对称加密算法 RS256(需提供 RSA 公钥 PEM)。
不会。所有的解码和签名校验过程均在安全隔离的环境中实时处理,不会持久化存储您的 Token 或密钥。
标准的 JWT Payload 必须是有效的 Base64Url 编码的 JSON 字符串。如果出现乱码,可能是 Token 格式损坏或未遵循 JWT 标准。
工具会自动检查 Token 是否过期、是否使用了不安全的 none 算法,以及 Payload 中是否明文包含了密码等常见敏感字段。
可以。JWT 的 Header 和 Payload 仅经过 Base64Url 编码,并未加密。不提供密钥依然可以查看明文内容,但无法验证签名是否被篡改。
问题
检查 JWT 中是否包含不应暴露的敏感信息,以及签名算法是否合规。
如何使用
输入抓包获取的 JWT,并填入对应的 HMAC 密钥进行完整审计。
结果
审计报告高亮提示 Payload 中明文传输了用户手机号,且未设置 exp 过期时间,生成了直观的安全修复建议。