JWT-Decoder

JSON Web Tokens dekodieren und inspizieren — Header, Payload und Ablauf

Was ist das und wie funktioniert es?

Ein JWT-Decoder nimmt ein JSON Web Token und zeigt, was darin steckt: den Header (Algorithmus und Token-Typ), die Payload (die Claims — Benutzer-ID, Rollen, Ablaufzeit) und die Signatur. JWTs sind der De-facto-Standard für zustandslose Authentifizierung in modernen APIs und Single-Page-Anwendungen: Der Server signiert ein Token einmal, und jede folgende Anfrage weist die Identität durch Mitführen nach — ohne Session-Speicher. Ein JWT besteht nur aus drei Base64Url-kodierten, durch Punkte getrennten Segmenten — jeder kann es dekodieren und lesen; nur die Signatur erfordert den geheimen Schlüssel.

Dieses Tool dekodiert Header und Payload sofort, hebt die registrierten Claims hervor und wandelt numerische Daten wie exp, iat und nbf in lesbare Zeitstempel um — so sehen Sie auf einen Blick, ob ein Token abgelaufen ist. Die Dekodierung erfolgt vollständig im Browser — das Token wird nirgendwohin gesendet, was zählt, denn Produktions-Tokens gewähren echten Zugriff.

Anwendungsfälle

• 401-Fehler debuggen: Dekodieren Sie das von Ihrer App gesendete Token und prüfen Sie, ob es abgelaufen (exp), noch nicht gültig (nbf) oder ein Pflicht-Claim fehlt.
• Dritt-Tokens inspizieren: Sehen Sie genau, welche Benutzerdaten und Scopes ein OAuth/OpenID-Connect-Anbieter in Access- oder ID-Token packt.
• Integration prüfen: Bestätigen Sie vor dem Livegang, dass Ihr Backend Tokens mit korrekter Audience (aud), Issuer (iss) und Rollen-Claims ausstellt.

Häufige Fragen

Ist es sicher, hier ein JWT einzufügen?

Die Dekodierung läuft vollständig im Browser — das Token verlässt nie Ihr Gerät. Behandeln Sie Produktions-Tokens dennoch wie Passwörter: Sie gewähren Zugriff bis zum Ablauf. Testen Sie nach Möglichkeit mit abgelaufenen oder Staging-Tokens.

Warum lässt sich das Token ohne geheimen Schlüssel lesen?

JWTs sind signiert, nicht verschlüsselt. Base64Url ist eine Kodierung, die jeder umkehren kann — der Schlüssel wird nur zum Erstellen oder Prüfen der Signatur gebraucht. Legen Sie nie sensible Daten (Passwörter, Kartennummern) in eine JWT-Payload; jeder Token-Inhaber kann sie lesen.

Prüft dieses Tool die Signatur?

Nein — es dekodiert den Inhalt. Signaturprüfung erfordert das Geheimnis (HMAC) oder den öffentlichen Schlüssel (RSA/ECDSA) und gehört auf den Server. Ein korrekt aussehendes dekodiertes Token kann gefälscht sein, wenn Ihr Backend nicht verifiziert.

Was sind exp, iat und nbf?

Registrierte Zeit-Claims als Unix-Timestamps: iat ist der Ausstellungszeitpunkt, exp der Ablauf und nbf („not before") der früheste Gültigkeitsmoment. Der Decoder wandelt alle drei in lesbare Daten um und markiert abgelaufene Tokens.

Entwickler

UUID-Generator · Zeitstempel-Konverter · Base64-Encoder · Base64-Decoder · Hash-Generator · Farb-Konverter