MUTools

編碼 / 解碼

JWT 解碼器

JWT 解碼器工具會將貼上的 JWT(JSON Web Token)拆分為標頭、負載、簽章三部分,並以易讀的 JSON 形式顯示。在輸入框中貼上「標頭.負載.簽章」三段以「.」分隔的字串,解碼結果即時更新。

貼上 JWT 後,這裡會顯示解碼結果。

JWT 與密鑰全部在您的瀏覽器內處理,不會傳送至伺服器。

相關工具

Base64 編碼 / 解碼

在文字與 Base64 字串之間相互轉換。支援 URL-safe Base64 與 76 字元換行(MIME),輸入時即時顯示結果。全程在瀏覽器中完成。

URL 編碼 / 解碼

URL 編碼 / 解碼工具可將文字轉換為百分號編碼(percent-encoding)格式,或將其還原為原始文字。支援查詢參數模式和完整 URL 模式,並可選擇以「+」表示空格。結果即時更新,全程在瀏覽器中完成。

JWT 解碼器是什麼?

JWT 解碼器工具會將貼上的 JWT(JSON Web Token)拆分為標頭、負載、簽章三部分,並以易讀的 JSON 形式顯示。在輸入框中貼上「標頭.負載.簽章」三段以「.」分隔的字串,解碼結果即時更新。

標準時間宣告(iat 簽發時間 / exp 過期時間 / nbf 生效時間)以原始的 UNIX 秒數形式存在,不易閱讀。本工具會依您的語言設定轉換為「2026年5月25日 12:34」這類格式,並附上相對於目前時刻的描述(「3 天後」「2 小時前」)。當 exp 已過便顯示「已過期」標籤,nbf 仍在未來則顯示「尚未生效」標籤,讓您一眼判斷除錯中的權杖是否仍然有效。

可選擇性地,輸入密鑰即可在瀏覽器中驗證 HMAC 系列(HS256 / HS384 / HS512)的簽章,適合手動確認後端簽發的權杖是否使用預期的密鑰。RSA / ECDSA / EdDSA 等公開金鑰演算法(RS256 / ES256 等)不在驗證範圍內,但標頭與負載的解碼對任何演算法均可正常進行。

輸入的 JWT 與密鑰全部在您的瀏覽器內處理,不會傳送至外部伺服器。即使是正式環境的存取權杖或真實密鑰也可安心使用,但在共用電腦上建議在驗證完成後立即清除密鑰欄位。全程在瀏覽器中完成。

使用方法

  1. 在輸入框中貼上要查看的 JWT(以「.」連接「標頭.負載.簽章」三段的字串)。空白與換行會自動去除。
  2. 解碼結果會顯示在標頭、負載、簽章三個面板中。每個面板右上角的「複製」按鈕可將格式化的 JSON 或簽章字串複製到剪貼簿。
  3. 若權杖包含標準宣告(iss / sub / aud / jti / iat / exp / nbf),下方的「標準宣告」表格會以可讀的日期時間與相對時間顯示各項內容。
  4. 如需驗證簽章,請開啟「使用密鑰驗證簽章」,並輸入 HMAC(HS256 / HS384 / HS512)的密鑰。驗證結果會以「簽章正確」「簽章不相符」等標籤顯示。
  5. 想嘗試其他權杖時,點擊「清除」清空輸入框後再貼上。

使用情境

  • 在除錯 API 時,快速確認存取權杖的內容(iss / sub / aud 與自訂宣告)。
  • 確認收到的 JWT 是否已過期、何時簽發。
  • 閱讀身分驗證基礎建設文件中的範例權杖,了解其中包含的宣告結構。
  • 在本機驗證後端簽發的 HS256 權杖是否使用預期的密鑰簽署。
  • 查看 OIDC / OAuth2 的 ID 權杖或存取權杖內容(aud / azp / scope 等)。

注意事項

  • 輸入的 JWT 與密鑰不會傳送至外部,所有處理均在您的瀏覽器內完成。
  • 本工具的簽章驗證僅支援 HS256 / HS384 / HS512。RSA / ECDSA / EdDSA 等公開金鑰演算法不在驗證範圍內,但標頭與負載的解碼對任何演算法均可正常進行。
  • 標準時間宣告(iat / exp / nbf)依 RFC 7519 解釋為 UNIX 秒數。
  • 過期 / 尚未生效的判斷以您裝置的系統時間為基準。裝置時間不準時,判斷也會隨之偏移。
  • 本工具不支援加密的 JWT(JWE),僅支援已簽署的 JWT(JWS,即「標頭.負載.簽章」形式)。
  • 解碼時會自動去除輸入中的空白字元(半形空格、Tab、換行等),因此多行換行的權杖也可直接貼上。

常見問題

貼上的 JWT 與密鑰會傳送至伺服器嗎?
不會。解碼與簽章驗證全部在您的瀏覽器內完成。正式環境的存取權杖與真實密鑰都可安心使用,但在共用電腦上建議在驗證完成後清除密鑰欄位。
可以驗證 RSA 或 ECDSA 簽署的 JWT 嗎?
本工具僅支援 HMAC 系列(HS256 / HS384 / HS512)的驗證。RSA / ECDSA / EdDSA 等公開金鑰演算法不在範圍內,但標頭、負載與標準宣告的解碼對任何演算法均可正常進行。
過期判斷是如何進行的?
若負載中的 exp(過期時間)早於您裝置的目前時間,則判斷為「已過期」;若 nbf(生效時間)仍在未來,則顯示「尚未生效」。判斷依賴裝置的系統時間,時間不準時結果也會偏移。
是否支援加密的 JWT(JWE)?
不支援。本工具僅處理已簽署的 JWT(JWS,即「標頭.負載.簽章」形式)。貼上 JWE 字串將導致解碼失敗。
簽章部分(第三段)的內容能以可讀形式顯示嗎?
簽章本身是二進位的雜湊值,並非人類可讀。本工具以 base64url 字串形式顯示並可複製;若為 HMAC 演算法,則可輸入密鑰進行驗證。