JWT 结构
JSON Web Token 由三部分组成,以 . 分隔:
- Header — 算法与类型,如
{"alg":"HS256","typ":"JWT"} - Payload — 声明(claims),如
sub、exp、name - Signature — 对前两部分的签名,防篡改
解码 vs 验证
- 解码:仅 Base64URL 解析 Header 和 Payload,用于调试。
- 验证:使用密钥或公钥校验 Signature,必须在服务端完成。
ComTools JWT 解码器 只在浏览器本地解码,不上传 Token。
示例 Payload
{
"sub": "1234567890",
"name": "ComTools",
"iat": 1717785600
}
开发测试生成
JWT 生成器 可用 HS256 与自定义 Payload 生成测试 Token。切勿在生产环境用客户端生成令牌。
安全提示
- 永远不要把密钥写进前端。
- 设置合理的
exp过期时间。 - 敏感信息不要放进 Payload(Payload 仅编码,不加密)。