· 全部指南
JWT是什麼
JSON Web Token(JWT)是一種緊湊的字串格式,常用於登入態、API授權與微服務間傳遞聲明。 典型JWT由三段Base64URL片段組成:Header(算灋與類型)、Payload(聲明,如用戶ID與過期時間exp)、Signature(簽名,用於驗證未被篡改)。
在Towalles的jwt-decoder中,你可以在瀏覽器本地粘貼Token,立即查看Header與Payload的JSON內容。 我們不會把Token上傳到服務器——這對調試開發環境、檢查過期時間與排查「為什麼401」非常有用。
解碼≠驗證
任何人都可以Base64解碼JWT的Header與Payload,囙此Payload裏不應存放密碼、完整信用卡號等敏感秘密。 簽名段的存在是為了讓服務端用金鑰或公開金鑰驗證Token是否由可信方簽發且未被修改。
常見誤區:「我在前端解碼了JWT,看到role: admin,所以用戶是管理員。 」這是錯誤的——攻擊者可以偽造Payload並重新編碼(除非你的應用錯誤地只解碼不驗簽)。 正確做法:在服務端用金鑰/公開金鑰完整驗證簽名、exp、aud、iss等聲明。
開發調試建議
檢查exp是否已過期; 注意時鐘偏差。 確認alg是否為預期算灋(避免alg:none或算灋降級攻擊)。 對比iss/aud是否匹配你的服務。 若使用HS256,金鑰只保存在服務端; jwt-generator僅適合本地聯調,勿在生產前端暴露金鑰。
配合hash-generator、hmac-generator理解簽名與HMAC的區別:JWT簽名是結構化協定,HMAC是通用消息認證。 需要API Webhook校驗時可參攷hmac-generator。
隱私與合規
即使工具在本地處理,也不要在錄屏、日誌或工單裏洩露生產Token。 Rotate金鑰、縮短access token壽命、敏感操作用refresh token或step-up認證。 Towalles工具頁提供教程與FAQ,幫助團隊統一安全基線。