JWT.io

调试 JWT 的时候，你是怎么查看 token 内容的？是在代码里加 console.log？还是找个在线工具但担心数据安全？JWT.io 的出现就是为了让这件事变得优雅——它由 Auth0（现属于 Okta）提供，是目前最被广泛使用的 JWT 调试工具。

JWT.io（https://jwt.io/）是一个免费的在线 JWT 解码、验证和生成工具。输入一个 JWT token，界面会立即以 JSON 格式展示 Header（头部）和 Payload（载荷）的解码内容，还支持手动输入密钥验证签名是否正确。整个过程在浏览器本地完成，数据不会上传到任何服务器。

主要功能

JWT 解码

JWT 由三部分组成：Header（头部）、Payload（载荷）和 Signature（签名）。在 Encoded Token 输入框粘贴任意 JWT，JWT.io 会立即解码并以结构化的 JSON 格式显示 Header 和 Payload 内容，清晰展示每个 claim（声明）的键值对。示例 token 的 Header 显示算法为 HS256，Payload 显示了 sub（用户 ID）、name（用户名）、admin（权限标识）和 iat（签发时间）等常见声明。

签名验证

JWT 的安全性建立在签名验证上——如果签名不匹配，说明 token 被人篡改了。在 Secret 输入框填入签名密钥，JWT.io 会实时验证签名是否正确，并给出「Signature Verified」或「Invalid Signature」的明确提示。Secret 支持 Base64URL 编码模式切换，方便处理不同格式的密钥。

JWT 生成（Encode）

点击「JWT Encoder」标签，可以反向操作——输入 Header 和 Payload 的 JSON 内容，选择签名算法和密钥，实时生成一个有效的 JWT token。非常适合在没有 SDK 的情况下快速生成测试 token。

多算法支持

JWT.io 支持主流的签名算法，包括 HMAC 系列（HS256、HS384、HS512）、RSA 系列（RS256、RS384、RS512）、ECDSA 系列（ES256、ES384、ES512）以及 none。下拉菜单直接选择，无需手动配置。

示例 Token 生成

点击「Generate example」可以快速生成一个带有真实数据的示例 JWT，方便在没有任何 token 在手边时学习或演示 JWT 的结构。

自动聚焦（Auto-focus）

开启 Auto-focus 功能后，每次打开 JWT.io 页面时光标会自动定位到 Token 输入框，减少一次点击步骤。

核心特点与优势

适用人群

• 后端开发工程师——调试 API 认证 token，验证签发逻辑
• 前端开发工程师——解码 token 了解用户信息和权限声明
• 全栈工程师——快速生成测试用 JWT
• 安全工程师——验证 token 签名是否被篡改
• 技术面试准备——理解 JWT 结构和各 claim 含义

总结

JWT.io 是 JWT 调试领域的事实标准工具。Auth0（Okta）用它来展示自己的技术积累，同时给整个社区提供了一个免费、干净、无广告的调试工具。三个主要功能——解码、验证、生成——覆盖了日常开发中 99% 的 JWT 调试场景。

最重要的还是它的安全性承诺：所有解码在本地完成，token 内容不上传。对于处理包含敏感信息的生产环境 token，这一点尤其重要——你不会希望自己的用户 token 被第三方工具记录。建议把它加入浏览器书签，调试 API 认证时随时打开。