# JWT 解码器

> 免费 client-side JWT decoder。可本地解码 header 和 payload，查看 claims、过期时间、issuer 和时间戳。

- **Category:** 开发者
- **URL:** https://www.teafun.cyou/tools/jwt-decoder/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** jwt token, bearer token, claims decoder, jwt parser
- **Related tools:** [JSON 格式化 / 验证器](https://www.teafun.cyou/tools/json-formatter/), [Base64 编码 / 解码器](https://www.teafun.cyou/tools/base64-tool/), [HTTP 安全标头检查器](https://www.teafun.cyou/tools/http-headers-checker/)
- **Tags:** Data, Security, Text

## About

在浏览器中本地解码 JWT header 和 payload。查看 claims、过期时间、issuer 和时间戳，无需把 token 发送到任何地方。

## 如何使用 JWT 解码器

将完整令牌（三个以点号分隔的片段）粘贴到输入中。工具在点号处分割、Base64URL 解码每个片段，并将标头和负载呈现为格式化的 JSON。`iat`、`nbf` 和 `exp` 等数字声明（Unix 秒数，自 1970 年起）会转换为 ISO-8601 日期及原始值。状态横幅报告过期（`now > exp`）、尚未有效（`now < nbf`）或活动。如果解码失败，错误会指出哪个片段格式不正确 — 通常是复制粘贴时截断的令牌、缺少字符的 Base64URL 字符串，或不小心粘贴了不透明的会话 ID 而非 JWT。使用复制来抓取任一片段的 JSON，以便在 `jq`、Postman 或 IDE 中进一步检查。签名片段显示为原始 — 验证刻意超出范围。

## 为什么 JWT 检查很重要

当认证失败时，第一个检查步骤总是令牌：存在哪些声明、已过期吗、`aud` 是否与预期的 API 相符、`iss` 是否来自正确的授权服务器、客户端是否请求了正确的 `scope`。没有本地解码器，开发者会将生产令牌粘贴到随机在线网站 — 每次粘贴都是潜在的凭证泄露给拥有该网站日志、分析或后端的任何人。本地 Base64URL 解码可停止泄露。除了调试，JWT 素养对安全审查很重要：发现 `alg: none` 令牌、注意 `exp` 未来多年，或在负载中捕捉到意外的角色声明，使用解码器只需数秒，否则需要数分钟。JWT 是持有者令牌 — 拥有即是授权。在检查期间谨慎处理它们的卫生与谨慎对待生产数据库凭证的卫生相同。

_SEO title: JWT 解码器 – 隐私优先 Token 查看器 | TeaFun_

## FAQ

### 会验证 JWT signature 吗？

不会。这个页面只会在本地解码 header 和 payload，不会验证 signature 或信任 token。

### 为什么不用 jwt.io？

TeaFun 强调隐私优先。你的 token 只会停留在浏览器里，不会被上传处理。

### 会显示哪些时间？

如果 token 内有 exp、iat、nbf，工具会把 Unix timestamp 转成易读的 ISO 日期时间。