JWT Decoder (Header, Payload, Token)

Inspizieren Sie JWT-Inhalte sofort. Sehen Sie Claims, Rollen und Ablaufdaten in einem lesbaren Format.

Decodieren Sie JWT-Header und -Payload mit Base64Url-Handling und lesbaren Zeitstempeln.

Decodieren Sie generische JWTs (JSON Web Tokens) lokal, um deren Header und Payload zu inspizieren. Dieses Tool parst die Base64Url-codierten Teile und zeigt das decodierte JSON an, damit Sie Benutzerrollen, Berechtigungen oder Ablaufzeiten (`exp`) einfach prüfen können. Es formatiert Zeitstempel automatisch in lesbare Daten, ohne dass Ihre sensiblen Tokens jemals an einen Backend-Server gesendet werden.

Wie diese Seite gepflegt wird

  • Schritte und Texte werden gegen das aktuelle Tool-Verhalten geprueft.
  • Browser-Limits, Dateigroessen und Kompatibilitaetsgrenzen werden dokumentiert, wenn sie relevant sind.
  • Wenn nicht anders angegeben, bleiben Dateien und Texte bei der Verarbeitung lokal im Browser.

JSON Web Tokens inspizieren

JWT (JSON Web Tokens) sind der Standard für moderne, zustandslose Authentifizierung. Sie ermöglichen es Servern, die Identität eines Benutzers zu überprüfen, ohne Sitzungsdaten in einer Datenbank zu speichern.

Anatomie eines JWT:
Ein Token besteht aus drei durch Punkte (.) getrennten Teilen:

  1. Header: Beschreibt den Signaturalgorithmus (z.B. HS256).
  2. Payload (Claims): Die Daten selbst. Enthält Behauptungen wie sub (Subject), name, admin: true und exp (Ablauf).
  3. Signatur: Der vom Server erstellte Verifizierungsstring, um Manipulationen zu verhindern.

Sicherheit zuerst:
JWTs sind Base64Url-kodiert, was bedeutet, dass jeder mit dem Token den Inhalt lesen kann. Legen Sie niemals sensible Daten wie Passwörter in ein JWT. Dieses Tool hilft Ihnen zu debuggen, welche Claims Ihre Anwendung sendet.

Wichtige Funktionen

  • Lesbare Zeitstempel: Standard-Claims wie `exp` (Ablauf), `iat` (Ausgestellt am) und `nbf` (Nicht vor) werden automatisch in lokale Datumsstrings konvertiert.
  • Sichere lokale Decodierung: Ihre Tokens werden direkt im Browser per JavaScript decodiert. Keine privaten Schlüssel nötig, keine Daten verlassen Ihren Tab.
  • Farbcodierte Struktur: Unterscheidet visuell zwischen Header, Payload und Signatur, damit Sie die Struktur auf einen Blick verstehen.

Häufige Fragen

Überprüft dies die Signatur?

Nein. Dieses Tool ist ein 'Decoder', kein 'Verifier'. Es zeigt Ihnen, was im Token enthalten ist, überprüft jedoch nicht dessen kryptographische Integrität gegen einen geheimen Schlüssel.

Ist es sicher, echte Token einzufügen?

Ja, da die Verarbeitung zu 100% lokal erfolgt. Als Best Practice sollten Sie jedoch vermeiden, Produktionstoken mit sensiblen PII in eine Drittanbieter-Schnittstelle einzufügen.

Was passiert, wenn das Token ungültig ist?

Das Tool versucht, alle gültigen JSON-Teile zu decodieren. Wenn der Base64-String fehlerhaft ist, sehen Sie eine Fehlermeldung, die darauf hinweist, dass das Token beschädigt ist.

Zum vollständigen Verzeichnis