JWT-Decoder

Ein JSON Web Token ist ein kompaktes, URL-sicheres Token-Format zur sicheren Übertragung von Informationen zwischen Parteien. JWTs sind der Industriestandard für zustandslose Authentifizierung in Webanwendungen, APIs und Microservices. Ein JWT besteht aus drei Base64URL-kodierten Teilen, die durch Punkte getrennt sind: einem Header mit Algorithmus und Token-Typ, einem Payload mit den Claims, also den eigentlichen Daten, und einer Signatur, die die Unversehrtheit des Tokens sicherstellt.

Dieser kostenlose Online-JWT-Decoder analysiert jedes JWT und stellt seinen Inhalt in einem lesbaren, syntaxhervorgehobenen Format dar. Er erkennt automatisch den verwendeten Algorithmus, prüft den Ablaufstatus des Tokens und formatiert zeitbezogene Claims in lesbare Datumsangaben. Die gesamte Dekodierung findet in Ihrem Browser statt, sodass auch Produktions-Tokens sicher analysiert werden können.

• Sofortige JWT-Dekodierung mit syntaxhervorgehobenem Header und Payload
• Automatische Ablaufstatus-Erkennung: zeigt an, ob das Token gültig oder abgelaufen ist
• Lesbare Formatierung der Zeitangaben iat, exp und nbf
• Algorithmus-Erkennung und -Anzeige aus dem Header
• Farbkodierte JSON-Ausgabe: Zeichenketten, Zahlen, boolesche Werte und Null-Werte
• Ein-Klick-Kopieren für Header, Payload und Signatur
• Fehlererkennung für fehlerhafte oder ungültige JWT-Tokens
• Übersichtliches Zwei-Spalten-Layout: Token-Eingabe links, dekodierte Ausgabe rechts
• Vollbildmodus für die Analyse großer Tokens
• 100 % clientseitig: keine Daten werden an einen Server gesendet

1. Fügen Sie Ihr JWT-Token im Textfeld im linken Bereich ein.
2. Der dekodierte Header, Payload und die Signatur erscheinen sofort rechts.
3. Prüfen Sie das Status-Badge, um zu sehen, ob das Token gültig oder abgelaufen ist.
4. Sehen Sie sich die Zeitangaben in einem lesbaren Datumsformat an.
5. Klicken Sie auf das Kopier-Symbol neben einem Abschnitt, um ihn in die Zwischenablage zu kopieren.
6. Verwenden Sie den Leeren-Button zum Zurücksetzen und Dekodieren eines neuen Tokens.

Der Header enthält typischerweise zwei Felder: alg für den Signaturalgorithmus wie HS256, RS256 oder ES256 und typ, das in der Regel JWT ist. Der Header teilt dem Server mit, wie die Signatur des Tokens verifiziert werden soll.

Der Payload enthält die Claims: iss für den Aussteller, sub für das Subjekt, aud für die Zielgruppe, exp für die Ablaufzeit, iat für den Ausstellungszeitpunkt, nbf für die Nicht-vor-Zeit und alle benutzerdefinierten Claims, die Ihre Anwendung benötigt. Standard-Claims haben in der JWT-Spezifikation definierte Bedeutungen.

Die Signatur wird erstellt, indem Header und Payload kodiert und dann mit dem im Header angegebenen Algorithmus signiert werden. Bei HMAC-Algorithmen wird ein gemeinsamer Schlüssel benötigt, bei RSA- und ECDSA-Algorithmen ein privater Schlüssel. Die Signatur stellt sicher, dass der Token-Inhalt nicht verändert wurde.

• Authentifizierungsprobleme debuggen, indem Token-Inhalt und Ablaufzeit geprüft werden
• Überprüfen, dass Tokens die erwarteten Claims enthalten, bevor sie deployed werden
• Prüfen, ob ein Token abgelaufen ist, bei der Fehlersuche von 401-Fehlern
• Algorithmus und Struktur von Drittanbieter-Tokens verstehen
• JWT-Format und Claims zu Lernzwecken kennenlernen
• Tokens bei der API-Entwicklung und beim Testen schnell analysieren

• Dieses Tool dekodiert JWTs lediglich — es verifiziert keine Signaturen, da dafür der geheime oder öffentliche Schlüssel erforderlich ist
• Die gesamte Dekodierung findet in Ihrem Browser statt; es werden keine Token-Daten an einen Server übertragen
• Teilen Sie Produktions-Tokens niemals in unsicheren Umgebungen
• JWTs sind kodiert, nicht verschlüsselt — jeder kann den Payload ohne den geheimen Schlüssel dekodieren
• Verifizieren Sie Token-Signaturen immer serverseitig, bevor Sie den Claims vertrauen
• Setzen Sie kurze Ablaufzeiten und verwenden Sie Refresh-Tokens für bessere Sicherheit