· 全部指南
JWT 是什么
JSON Web Token (JWT) 是一种紧凑的字符串格式,常用于登录态、API 授权与微服务间传递声明。典型 JWT 由三段 Base64URL 片段组成:Header(算法与类型)、Payload(声明,如用户 ID 与过期时间 exp)、Signature(签名,用于验证未被篡改)。
在 Towalles 的 jwt-decoder 中,你可以在浏览器本地粘贴 Token,立即查看 Header 与 Payload 的 JSON 内容。我们不会把 Token 上传到服务器——这对调试开发环境、检查过期时间与排查「为什么 401」非常有用。
解码 ≠ 验证
任何人都可以 Base64 解码 JWT 的 Header 与 Payload,因此 Payload 里不应存放密码、完整信用卡号等敏感秘密。签名段的存在是为了让服务端用密钥或公钥验证 Token 是否由可信方签发且未被修改。
常见误区:「我在前端解码了 JWT,看到 role: admin,所以用户是管理员。」这是错误的——攻击者可以伪造 Payload 并重新编码(除非你的应用错误地只解码不验签)。正确做法:在服务端用密钥/公钥完整验证签名、exp、aud、iss 等声明。
开发调试建议
检查 exp 是否已过期;注意时钟偏差。确认 alg 是否为预期算法(避免 alg:none 或算法降级攻击)。对比 iss/aud 是否匹配你的服务。若使用 HS256,密钥只保存在服务端;jwt-generator 仅适合本地联调,勿在生产前端暴露密钥。
配合 hash-generator、hmac-generator 理解签名与 HMAC 的区别:JWT 签名是结构化协议,HMAC 是通用消息认证。需要 API Webhook 校验时可参考 hmac-generator。
隐私与合规
即使工具在本地处理,也不要在录屏、日志或工单里泄露生产 Token。Rotate 密钥、缩短 access token 寿命、敏感操作用 refresh token 或 step-up 认证。Towalles 工具页提供教程与 FAQ,帮助团队统一安全基线。