JWT-Decoder
Header und Claims eines JWT-Tokens einsehen.
- Sofort
- Kostenlos
- Privat (lokal verarbeitet)
- Ohne Anmeldung
Sehen Sie, was Ihr Token wirklich transportiert
Ein JWT sieht aus wie Rauschen — tatsächlich ist es base64url-kodiertes JSON, für jeden lesbar. Token einfügen: Das Tool trennt und dekodiert Header und Payload, formatiert das JSON, wandelt Timestamps in Daten um und zeigt, ob das Token abgelaufen ist.
Anatomie eines JWT
| Teil | Inhalt | Beispiel |
|---|---|---|
| Header | Algorithmus und Typ | {"alg":"HS256","typ":"JWT"} |
| Payload | Die Claims (Fachdaten) | {"sub":"1234567890","exp":1716239022} |
| Signatur | HMAC oder asymmetrische Signatur | SflKxwRJ… (kodiertes Binärformat) |
Registrierte Claims, die man kennen sollte
- iss (Issuer): wer das Token ausgestellt hat — Ihr Authentifizierungsserver.
- sub (Subject): worauf es sich bezieht — die Benutzerkennung.
- aud (Audience): für wen es bestimmt ist — die API, die es akzeptieren soll.
- exp / nbf / iat: das zeitliche Gültigkeitsfenster als Unix-Timestamps.
Sicherheitshinweis: Dekodieren ist nicht Verifizieren. Ein plausibel aussehendes Token kann gefälscht sein; maßgeblich ist allein die serverseitige Signaturprüfung (mit richtigem Schlüssel und Algorithmus). Speichern Sie keine Geheimnisse im Payload: Er ist öffentlich.
Häufige Fragen
Was ist ein JWT?
Ein JSON Web Token (RFC 7519) ist ein kompaktes Token aus drei base64url-kodierten, durch Punkte getrennten Teilen: einem Header (Algorithmus), einem Payload (die Claims: Identität, Ablauf…) und einer Signatur, die seine Integrität garantiert.
Ist das Dekodieren eines JWT dasselbe wie „Knacken“?
Nein. Header und Payload sind nicht verschlüsselt, nur base64url-kodiert: Jeder kann sie lesen. Die Sicherheit des JWT beruht auf der Signatur, die Änderungen verhindert — nicht das Lesen.
Prüft dieses Tool die Signatur?
Nein, bewusst nicht: Es dekodiert und zeigt den Inhalt, mehr nicht. Die Signaturprüfung erfordert den geheimen oder öffentlichen Schlüssel und gehört auf den Server. Vertrauen Sie einem Token nie allein aufgrund seines dekodierten Inhalts.
Was bedeuten exp, iat und nbf?
Das sind Unix-Timestamps: exp = Ablaufdatum, iat = Ausstellungsdatum, nbf = Datum, vor dem das Token ungültig ist. Das Tool wandelt sie in lesbare Daten um und zeigt an, ob das Token abgelaufen ist.
Ist es sicher, hier ein echtes Token einzufügen?
Die Dekodierung ist 100 % lokal; nichts wird übertragen. Vermeiden Sie aus Hygiene dennoch, gültige Produktions-Tokens außerhalb gesicherter Umgebungen zu handhaben, und widerrufen Sie versehentlich exponierte Tokens.