什么是 JSON Web 令牌 (JWT)?
JSON Web 令牌 (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息是可以验证和信任的,因为它是经过数字签名的。JWT 可以使用秘密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。
为什么本地解码至关重要
开发人员在调试期间经常使用在线工具解码 JWT。然而,许多这些第三方网站会将您的令牌发送到他们的后端服务器。如果您粘贴包含敏感用户声明或活动会话数据的生产环境令牌,您实际上是在向第三方泄露访问凭据。
我们的仅本地 JWT 解码器解决了这个问题。 通过严格依赖客户端 JavaScript(使用浏览器原生的 Base64 解码 API),我们确保您的令牌在您的本地机器上完全处理。不发出网络请求。不传输任何数据。
JWT 的结构
在其紧凑形式中,JSON Web 令牌由三个以点 (.) 分隔的部分组成,分别是:
- 标头 (Header): 通常由两部分组成:令牌的类型(即 JWT)和所使用的签名算法(例如 HMAC SHA256 或 RSA)。
- 负载 (Payload): 包含声明。声明是关于实体(通常是用户)和其他数据的陈述。共有三类声明:注册声明、公开声明和私有声明。
- 签名 (Signature): 要创建签名部分,您必须获取编码后的标头、编码后的负载、一个秘密、标头中指定的算法,并对其进行签名。
安全提示: 虽然您可以在没有密钥的情况下解码 JWT 的标头和负载,但如果没有密钥,您无法验证令牌是否被篡改或是否由授权方签名。我们的工具刻意省略了签名验证,以保持 100% 离线和无状态,从而保护您免于在互联网上意外传输您的私有验证密钥。