Toova 會驗證 JWT 簽章嗎?

不會。驗證需要簽署金鑰,而那只有發行者持有。Toova 會解碼 header 與 payload 讓您檢視 claims,但要信任該權杖仍需在伺服器端使用密鑰或公鑰進行驗證。

我的權杖會被送到任何地方嗎?

不會。解碼器完全在您的瀏覽器中執行。權杖從不離開您的裝置,解碼期間對外的網路請求數為零。打開開發者工具自行驗證即可。

可以解碼過期的權杖嗎?

可以。解碼器不受到期時間影響,還會標示該權杖為過期並顯示 exp claim 何時過期,有助於除錯為何某個請求被拒。

alg 欄位告訴我什麼?

它代表簽署演算法——HS256 是 HMAC-SHA256、RS256 是 RSA、ES256 是 ECDSA,以此類推。如果 alg 是「none」,代表權杖未簽署,這幾乎一定是嚴重的安全漏洞。

為什麼時間戳是數字?

JWT 的 claims 使用 Unix epoch 秒數。Toova 會把 iat、nbf 與 exp 轉換成您的本地時區方便閱讀,同時保留原始數值以供參考。

JWT 解碼工具 — 解碼並檢視 JSON Web Token

JWT 解碼與檢視工具

注重隱私的設計 — 完全在您的瀏覽器中執行

在不把權杖送到任何地方的情況下,解碼 JWT(JSON Web Token)並檢視其 header 與 payload。Toova 會顯示演算法、claims、發行與到期時間戳(以人類可讀格式),並標示已過期的權杖——一切都在您的瀏覽器本機進行。

為什麼要在本地解碼 JWT

其他 JWT 解碼器都會要求您把權杖貼進遠端表單。問題顯而易見——如果權杖仍然有效,執行那台伺服器的人就能冒用您的身份。Toova 完全在您的瀏覽器中解碼權杖,無上傳、無日誌。您可以放心貼上正式環境的存取權杖、檢視 claims 並確認結構正確,不會把它洩漏給第三方。

解碼輸出顯示的內容

Toova 會把權杖拆成 header、payload 與 signature。Header 會顯示演算法與金鑰 ID。Payload 是經過美化的 JSON,所有標準 claims(iss、sub、aud、exp、nbf、iat、jti)都會轉換成可讀形式。時間戳會轉換成您的本地時區,工具還會標示權杖目前是有效、已過期,還是尚未生效。

只解碼,絕不直接信任

解碼 JWT 不等於驗證它。解碼器會顯示權杖宣稱的內容,但不會檢查簽章——那需要簽署金鑰,而該金鑰只存在發行該權杖的伺服器上。請用 Toova 來除錯 claim 結構、到期時間與 audience 值;在授權存取前,仍要用您的驗證函式庫來建立信任。

常見問題

Toova 會驗證 JWT 簽章嗎?: 不會。驗證需要簽署金鑰,而那只有發行者持有。Toova 會解碼 header 與 payload 讓您檢視 claims,但要信任該權杖仍需在伺服器端使用密鑰或公鑰進行驗證。
我的權杖會被送到任何地方嗎?: 不會。解碼器完全在您的瀏覽器中執行。權杖從不離開您的裝置,解碼期間對外的網路請求數為零。打開開發者工具自行驗證即可。
可以解碼過期的權杖嗎?: 可以。解碼器不受到期時間影響,還會標示該權杖為過期並顯示 exp claim 何時過期,有助於除錯為何某個請求被拒。
alg 欄位告訴我什麼?: 它代表簽署演算法——HS256 是 HMAC-SHA256、RS256 是 RSA、ES256 是 ECDSA,以此類推。如果 alg 是「none」,代表權杖未簽署,這幾乎一定是嚴重的安全漏洞。
為什麼時間戳是數字?: JWT 的 claims 使用 Unix epoch 秒數。Toova 會把 iat、nbf 與 exp 轉換成您的本地時區方便閱讀,同時保留原始數值以供參考。