在线处理
请粘贴 JWT。不要在不可信环境处理生产敏感 token。
JWT解码检查
JWT解码过期时间检查
JWT exp时间怎么看
主题化教程
JWT 解码+过期时间检查怎么用才稳
排查 JWT 问题时,不要只看 payload 能不能解出来。还要看 exp 是否过期、nbf 是否尚未生效、iat 是否异常、iss/aud 是否和服务端期望一致,以及 HS256/384/512 签名是否通过。
时间声明
exp、nbf、iat 都是 UTC 秒,页面会换算成本地时间并显示相对状态,便于排查 401/403。
签名校验
填写 HMAC 密钥后可校验 HS256、HS384、HS512;没有密钥时只能说明“已解码”,不能说明“可信”。
iss/aud
多环境联调常见问题是 issuer 或 audience 配错,页面可填写期望值并提示匹配状态。
安全提醒
不要在不可信环境粘贴生产敏感 token;本页本地处理,但 token 本身仍可能代表账号权限。
真实示例
输入、设置和输出对照
输入和设置
Token payload 包含 sub=123、iss=gratia、aud=tool、exp=未来 1 小时、iat=当前时间;期望 iss 填 gratia。
结果和复核
结果显示 Header、Payload、注册声明表、过期时间、本地时间、iss 匹配状态;未填密钥时提示仅解码未验签。
FAQ
JWT 解码+过期时间检查常见问题
JWT 会发送到服务器吗?
不会。解码、时间检查和 HMAC 验签都在浏览器本地执行。
为什么解码成功不代表 token 有效?
JWT payload 本来就是 Base64URL,可被任何人读取;只有签名、时间和声明都通过才更接近有效。
支持 RS256 验签吗?
当前重点支持 HMAC 系列。RS256 需要导入公钥格式,后续可继续扩展。
过期判断按哪个时区?
JWT 时间戳是 UTC 秒,页面会换算成本地时间并显示还有多久或已过多久。