# JWT 解碼器

> 免費瀏覽器端 JWT 解碼器。可在本地解碼 header 和 payload，查看 claims、到期時間、issuer 與時間戳。

- **Category:** 開發者
- **URL:** https://www.teafun.cyou/tools/jwt-decoder/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** jwt token, bearer token, claims decoder, jwt parser
- **Related tools:** [JSON 格式化 / 驗證器](https://www.teafun.cyou/tools/json-formatter/), [Base64 編碼 / 解碼器](https://www.teafun.cyou/tools/base64-tool/), [HTTP 安全標頭檢查器](https://www.teafun.cyou/tools/http-headers-checker/)
- **Tags:** Data, Security, Text

## About

在瀏覽器中本地解碼 JWT header 與 payload。查看 claims、過期時間、issuer 與時間戳，不必將 token 傳送到任何地方。

## 如何使用 JWT 解碼器

將完整令牌（三個以點號分隔的片段）貼到輸入中。工具在點號處分割、Base64URL 解碼每個片段，並將標頭和酬載呈現為格式化的 JSON。`iat`、`nbf` 和 `exp` 等數字聲明（Unix 秒數，自 1970 年起）會轉換為 ISO-8601 日期及原始值。狀態橫幅報告過期（`now > exp`）、尚未有效（`now < nbf`）或活動。如果解碼失敗，錯誤會指出哪個片段格式不正確 — 通常是複製貼上時截斷的令牌、缺少字元的 Base64URL 字串，或不小心貼上了不透明的工作階段 ID 而非 JWT。使用複製來抓取任一片段的 JSON，以便在 `jq`、Postman 或 IDE 中進一步檢查。簽名片段顯示為原始 — 驗證刻意超出範圍。

## 為什麼 JWT 檢查很重要

當認証失敗時，第一個檢查步驟總是令牌：存在哪些聲明、已過期嗎、`aud` 是否與預期的 API 相符、`iss` 是否來自正確的授權伺服器、用戶端是否請求了正確的 `scope`。沒有本地解碼器，開發者會將生產令牌貼到隨機線上網站 — 每次貼上都是潛在的憑證洩露給擁有該網站日誌、分析或後端的任何人。本地 Base64URL 解碼可停止洩露。除了除錯，JWT 素養對安全審查很重要：發現 `alg: none` 令牌、注意 `exp` 未來多年，或在酬載中捕捉到意外的角色聲明，使用解碼器只需數秒，否則需要數分鐘。JWT 是持有者令牌 — 擁有即是授權。在檢查期間謹慎處理它們的衛生與謹慎對待生產資料庫憑證的衛生相同。

_SEO title: JWT 解碼器 – 隱私優先 Token 檢視工具 | TeaFun_

## FAQ

### 會驗證 JWT signature 嗎？

不會。此工具只會在本地解碼 header 和 payload，不會驗證 signature，也不會信任 token。

### 為什麼不直接用 jwt.io？

TeaFun 強調隱私優先。您的 token 只會留在瀏覽器中，不會被上傳處理。

### 會顯示哪些時間？

如果 token 內有 exp、iat、nbf，工具會將 Unix timestamp 轉為易讀的 ISO 日期時間。