🔓 JWT 解析器

專業的 JSON Web Token 解析與驗證工具，支援 HS256/RS256 簽名驗證、時間戳轉換，完全客戶端運算保護隱私

📝 輸入 JWT Token

⚪ 請輸入 JWT Token

🔵 Header

🟢 Payload

🔴 Signature

⏰ 時間資訊

📋 Claims 資訊

🔐 簽名驗證

⚠️ 尚未驗證簽名

HS256

HMAC-SHA256

RS256

RSA-SHA256

Secret 金鑰：

🔍 快速解析

自動分割並解析 JWT 的 Header、Payload 和 Signature，使用 Base64URL 解碼顯示完整 JSON 內容。

🔐 簽名驗證

支援 HS256（對稱加密）和 RS256（非對稱加密）簽名驗證，確保 Token 的完整性和真實性。

⏰ 時間管理

自動轉換時間戳（iat、exp、nbf），顯示可讀日期時間，即時檢查 Token 是否過期或尚未生效。

📖 使用教學

貼上 JWT Token

在輸入框中貼上您的 JWT Token。Token 格式為三個部分用點（.）分隔：header.payload.signature

查看解析結果

系統自動解析並顯示 Header（標頭）、Payload（負載）和 Signature（簽名）的內容，並以 JSON 格式呈現。

檢查時間資訊

查看 Token 的簽發時間（iat）、過期時間（exp）和生效時間（nbf），系統會自動標示是否已過期。

驗證簽名（可選）

選擇演算法（HS256 或 RS256），輸入對應的 Secret 金鑰或公鑰，點擊「驗證簽名」檢查 Token 真實性。

🔐 什麼是 JWT？

JWT（JSON Web Token）是一種開放標準（RFC 7519），用於在各方之間安全地傳輸資訊。JWT 由三個部分組成：

Header（標頭）：包含 Token 類型（typ）和加密演算法（alg）
Payload（負載）：包含聲明（claims），如用戶 ID、權限、過期時間等
Signature（簽名）：使用 Header 中指定的演算法和密鑰對前兩部分進行簽名

📊 演算法對比

HS256（HMAC-SHA256）

對稱加密

使用相同的 Secret 金鑰進行簽名和驗證
速度快，效能高
適合內部系統或微服務之間通訊
需要安全保管 Secret 金鑰

RS256（RSA-SHA256）✅

非對稱加密（推薦）

使用私鑰簽名，公鑰驗證
更安全，適合公開 API
私鑰可以保密，公鑰可以公開
適合多方驗證的場景

🛠️ 如何從瀏覽器取得 JWT？

打開瀏覽器開發者工具（F12）
切換到「Application」或「Storage」標籤
查看 Local Storage 或 Session Storage
或在「Network」標籤中查看 API 請求的 Authorization Header
複製 Token（通常以 Bearer 開頭，去掉 Bearer 只保留 Token 部分）

⚠️ 安全注意事項

❌ 不要在 JWT Payload 中存放敏感資訊（如密碼、信用卡號）
✅ 始終驗證簽名，確保 Token 未被篡改
✅ 設定合理的過期時間（exp），避免 Token 長期有效
✅ 使用 HTTPS 傳輸 JWT，防止中間人攻擊
✅ 對於 HS256，使用強度足夠的 Secret（至少 256 位元）
✅ 對於 RS256，妥善保管私鑰，絕不公開

📌 常見 JWT Claims

iss（Issuer）：簽發者
sub（Subject）：主體，通常是用戶 ID
aud（Audience）：受眾，Token 的接收方
exp（Expiration Time）：過期時間（UNIX 時間戳）
nbf（Not Before）：生效時間（UNIX 時間戳）
iat（Issued At）：簽發時間（UNIX 時間戳）
jti（JWT ID）：JWT 唯一識別碼

❓ 常見問題

Q: JWT Token 會被上傳到伺服器嗎？

A: 不會。所有解析和驗證運算都在您的瀏覽器中完成，Token 不會傳送到任何伺服器，完全保護您的隱私。

Q: HS256 和 RS256 有什麼差別？

A: HS256 使用對稱加密（同一個 Secret 簽名和驗證），適合內部系統；RS256 使用非對稱加密（私鑰簽名、公鑰驗證），更安全，適合公開 API。

Q: 為什麼驗證簽名總是失敗？

A: 請確認：1) 選擇了正確的演算法（與 Token Header 中的 alg 一致）；2) 輸入了正確的 Secret 或公鑰；3) Token 沒有被修改或損壞。

Q: JWT 可以儲存哪些資訊？

A: JWT Payload 可以存放任何 JSON 格式的資訊，但不建議存放敏感資訊（如密碼、信用卡號），因為 Payload 只是 Base64 編碼，任何人都可以解碼查看。

Q: Token 過期了怎麼辦？

A: 過期的 Token 無法使用，需要重新向伺服器請求新的 Token。通常使用 Refresh Token 機制來獲取新的 Access Token。

Q: 如何保護 JWT 的安全？

A: 1) 使用 HTTPS 傳輸；2) 設定合理的過期時間；3) 不在 Payload 存放敏感資訊；4) 始終驗證簽名；5) 使用強度足夠的 Secret（HS256）或妥善保管私鑰（RS256）。

Q: 這個工具支援哪些演算法？

A: 目前支援 HS256（HMAC-SHA256）和 RS256（RSA-SHA256），這是最常用的兩種 JWT 簽名演算法。

✨ JWT 解析器採用業界標準算法，完全客戶端運算保護隱私。需要更多開發工具？查看哈希生成器、 Base64 編解碼或 JSON 格式化工具。