JWT-Dekoder
Im Trend 🔥JWT-Tokens dekodieren und prüfen
Verwendung von JWT-Dekoder
- 1Ihr JWT-Token einfügen
- 2Dekodierte Header und Payload sofort sehen
- 3Ablauf und andere Claims prüfen
Über JWT-Dekoder
JWT Decoder dekodiert JSON Web Tokens (JWTs) sofort und zeigt den Header, Payload und Signatur-Teile in einem klaren, lesbaren Format an. JWTs sind das dominante Authentifizierungstoken-Format, das von REST-APIs, OAuth 2.0-Diensten und Single Sign-On (SSO)-Systemen verwendet wird.
Fügen Sie eine beliebige JWT-Zeichenkette ein und das Tool zeigt sofort den Algorithmus im Header, die Claims im Payload (einschließlich Ablaufzeit, Aussteller, Betreff und benutzerdefinierte Claims) und die rohe Signatur. Die Ablaufzeit wird als menschenlesbles Datum angezeigt.
Alle Dekodierungen laufen vollständig in Ihrem Browser mit Base64URL-Dekodierung — keine Daten werden an Server gesendet.
Hauptfunktionen von JWT-Dekoder
- Beliebige JWTs dekodieren und Header, Payload und Signatur anzeigen
- Zeigt den Signaturalgorithmus aus dem Header (HS256, RS256, usw.)
- Ablauf (exp), Ausstellungszeitpunkt (iat) und not-before (nbf) als lesbare Daten anzeigen
- Abgelaufene Tokens mit klarer visueller Warnung hervorheben
- Formatierter JSON-Output für Header und Payload
- Läuft vollständig im Browser — Ihr Token wird nie übertragen
- Unterstützt alle Standard-JWT-Strukturen einschließlich verschachtelter JWTs
- Ein-Klick-Kopie des vollständig dekodieren Payloads
Beispiele
Claims in einem OAuth 2.0 Zugriffstoken inspizieren
Betreff, Scopes und Ablauf eines von einem OAuth-Autorisierungsserver zurückgegebenen Tokens anzeigen.
Eingabe
eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIiwic2NvcGUiOiJyZWFkIiwiZXhwIjoxNzAwMDAwMDAwfQ.signature
Ausgabe
Header: {"alg":"RS256"} | Payload: {"sub":"user123","scope":"read","exp":"2023-11-14T22:13:20Z"}Überprüfen ob ein Sitzungstoken abgelaufen ist
Feststellen ob ein JWT aus einer Benutzersitzung noch gültig ist durch Inspektion des exp-Claims.
Eingabe
Ein JWT mit einem exp-Claim auf ein vergangenes Datum gesetzt
Ausgabe
Token abgelaufen am 2025-01-01 00:00:00 UTC — rot hervorgehoben
Typische Anwendungsfälle
- Inspektion von OAuth 2.0-Zugriffstoken zur Überprüfung von Scopes und Ablauf
- Debuggen von Authentifizierungsfehlern durch Überprüfung von JWT-Claims gegen API-Anforderungen
- Überprüfung der Token-Struktur und des Algorithmus bei Integration eines neuen Identity-Providers
- Überprüfung des Betreffs (sub) und Ausstellers (iss) eingehender Tokens in API-Logs
- Lehren der JWT-Struktur und Claims in Sicherheitsschulungen
- Schnelle Überprüfung, ob ein Token abgelaufen ist
Fehlerbehebung
Ungültiges Token — Token ist kein JWT
Lösung
Ein JWT muss genau drei punktgetrennte Abschnitte haben (Header.Payload.Signatur). Stellen Sie sicher, dass Sie die vollständige Token-Zeichenkette einfügen.
Payload zeigt unleserliche Zeichen
Lösung
JWT-Abschnitte sind Base64URL-kodiert. Der Dekoder verarbeitet dies automatisch. Wenn der Output unleserlich ist, stellen Sie sicher, dass das Token vollständig und unverändert ist.
Kann nicht feststellen, ob das Token gültig (authentisch) ist
Lösung
Das Dekodieren zeigt die Claims, überprüft aber nicht die Signatur. Signaturüberprüfung erfordert den Signierschlüssel. Verwenden Sie die JWT-Bibliothek Ihrer Anwendung zur serverseitigen Überprüfung.
Häufig gestellte Fragen
Ist mein JWT-Token bei Verwendung dieses Tools sicher?
Ja. Alle Dekodierungen erfolgen lokal in Ihrem Browser mit JavaScript. Ihr JWT wird nie an einen Server gesendet, gespeichert oder protokolliert.
Kann es JWT-Signaturen überprüfen?
Nein. Signaturüberprüfung erfordert den geheimen Schlüssel oder den öffentlichen Schlüssel. Dieses Tool dekodiert und zeigt nur Header und Payload an.
Was ist ein JWT?
Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Token-Format, das einen Satz von Claims als JSON-Objekt kodiert. Es besteht aus drei Base64URL-kodierten Teilen: einem Header (Algorithmus), einem Payload (Claims) und einer Signatur.
Auf welche Claims sollte ich in einem JWT achten?
Wichtige Standard-Claims sind: sub (Betreff/Benutzer-ID), iss (Aussteller), aud (Zielgruppe), exp (Ablaufzeit), iat (Ausgestellt am) und nbf (Nicht vor).
Wie erkenne ich, ob ein JWT abgelaufen ist?
Der exp-Claim enthält einen Unix-Zeitstempel, der angibt, wann das Token abläuft. Dieses Tool konvertiert ihn in ein menschenlesbares Datum und hebt abgelaufene Tokens hervor.
Was ist der Unterschied zwischen HS256 und RS256?
HS256 verwendet einen gemeinsamen geheimen Schlüssel. RS256 verwendet einen privaten Schlüssel zum Signieren und einen öffentlichen Schlüssel zur Überprüfung — geeignet für verteilte Systeme.
Kann ich ein JWT ohne Bibliothek dekodieren?
Ja. Ein JWT besteht nur aus drei durch Punkte getrennten Base64URL-kodierten JSON-Zeichenketten. Dieses Tool automatisiert genau diesen Prozess.
Sollte ich Produktions-Tokens in Online-Tools einfügen?
Dieses Tool verarbeitet Tokens lokal in Ihrem Browser, sie werden also nirgendwo übertragen. Für sensible Produktions-Tokens in Hochsicherheitsumgebungen sollten Sie eine lokal ausgeführte Version verwenden.