JWT 调试器

JWT（JSON 网络令牌）是现代 API 中占主导地位的身份验证令牌格式——OAuth、OIDC、会话令牌和自定义 API 身份验证。但 JWT 看起来像乱码：三个用点连接的 Base64URL 编码字符串。JWT 调试器将该字符串解析为三部分——标头（算法元数据）、有效负载（声明）和签名——解码每一部分，并使用语法突出显示 JSON 内容。有效负载被解析为已知声明：iss（发行者）、sub（主体）、exp（过期）、iat（颁发时间）、nbf（生效前）、aud（受众）、jti（令牌 ID）。过期时间从 Unix 时间戳转换为人类可读的格式，并标记为有效、过期或尚未生效。该工具不验证签名——签名验证需要密钥，超出客户端工具的范围——但它向您显示令牌包含的内容，以便您快速调试身份验证问题。

实时预览

example.com

JWT 调试器 ✓ 有效 · 过期时间：剩 2 小时

Token

                    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNzQzNDQ4MDAwfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
                

页眉

                            {

                              "alg": "HS256",

                              "typ": "JWT"

                            }

有效载荷

                            {

                              "sub": "1234",

                              "name": "John Doe",

                              "iat": 1743448000

                            }

alg: HS256 sub: 1234 签发时间：2 小时前

核心功能

三部分解码

在点处拆分 JWT 并对每个段进行 Base64URL 解码：标头、有效负载和签名。每个段均单独显示并带有语法突出显示。

标头检查

显示算法（HS256、RS256、ES256）和令牌类型。快速验证服务正在使用的签名方案。

有效负载声明显示

解析 JSON 有效负载并以彩色编码的键、字符串、数字和布尔值呈现。一目了然地查看所有声明。

过期验证

检查 exp（过期）、iat（颁发时间）和 nbf（生效前）时间戳。标记令牌是否有效、过期或尚未激活——带有人类可读的时间。

标准声明检测

识别已注册声明（iss、sub、aud、exp、iat、nbf、jti）并为其含义提供快速参考注释。

彩色令牌预览

原始令牌显示，每个段使用不同的颜色，以便您可以直观地区分标头、有效负载和签名。

使用场景

调试身份验证 401 错误

当 API 返回 401 未授权时，粘贴令牌以检查它是否已过期、格式错误或由错误的发行者颁发。

OAuth 令牌检查

解码从 OAuth/OIDC 流返回的访问令牌和 ID 令牌，以查看授予的范围、用户身份和过期时间。

验证声明与要求匹配

确认必需的声明（角色、权限、租户 ID）在令牌中存在，然后再假设后端将接受它。

交叉检查令牌内容

当后端服务生成令牌时，解码它以验证有效负载与服务打算颁发的内容相匹配。

安全审计

在安全审查期间，解码存储在 localStorage 或 Cookie 中的令牌，以评估客户端公开了哪些敏感数据。

使用方法

打开 JWT 调试器

单击 DevSuite Pro 停靠栏中的 JWT 图标。打开一个面板，其中包含令牌输入字段和三个已解码的窗格。

粘贴您的令牌

粘贴任何 JWT——来自 API 响应、Authorization 标头、Cookie 或 localStorage。包括或省略"Bearer "前缀；两者都有效。

查看标头

标头窗格显示算法和类型。确认它正在使用后端期望的方案（通常是 HS256 或 RS256）。

检查有效负载

有效负载窗格显示所有声明并带有语法突出显示。标准声明（iss、sub、exp）标有其用途。

检查过期

状态徽章显示有效、已过期或尚未生效。如果已过期，令牌可能是身份验证失败的原因。