JWT 解析与生成工具

结构

JWT = Base64URL(Header) + "." + Base64URL(Payload) + "." + Base64URL(Signature)

Header 描述类型和算法，Payload 保存声明，Signature 用于证明前两段没有被篡改。

签名计算

HS256: HMAC-SHA256(base64url(header) + "." + base64url(payload), secret)

HS384 和 HS512 分别使用 SHA-384、SHA-512。RS256/ES256 等非对称算法需要私钥签名、公钥验签，本工具当前聚焦浏览器本地 HMAC 调试。

常见声明

iss: issuer；sub: subject；aud: audience；exp: expires at；nbf: not before；iat: issued at；jti: token id。

exp、nbf、iat 通常是 Unix 秒级时间戳。

使用场景

常用于前后端分离登录态、API Bearer Token、服务间短期授权、单点登录的身份声明传递。

安全注意

JWT 只是编码和签名，不是加密；Payload 可被任何人解码查看，不要放密码、密钥、身份证号等敏感信息。生产环境必须校验 alg、签名、exp、nbf、iss、aud，并使用足够强的密钥。

Bearer 用法

Authorization: Bearer <jwt>

客户端通常把 Token 放在 Authorization 请求头中，服务端验签并检查声明后才信任其中的身份信息。