JWT 解码
查看 Header、Payload、exp、nbf、aud、iss、alg 等字段。
不要粘贴生产 bearer token 或 session token。
打开工具中文工作流
Token 检查工作流:JWT、Base64、时间和哈希边界
把 token-like 字符串的解码、时间字段阅读、摘要比对和服务端验签边界分开处理。
目标:理解 token 看起来包含什么,同时记住浏览器端 decode 不能替代可信服务端 verify。
Base64 编码解码
检查 Base64/Base64URL 片段的可读内容。
Base64 不是加密,编码内容仍可能泄露秘密。
打开工具时间戳转换
把 exp、iat、nbf 等字段转换成可读日期。
认证授权判断必须由服务端完成。
打开工具哈希生成
对比公开 checksum 或文档示例摘要。
普通 SHA 摘要不等于密码存储方案。
打开工具检查清单
- 使用开发或示例 token
- 区分 decode 和 verify
- 检查时间字段
- 确认 issuer/audience
- 服务端验签后再做权限判断