JWT-Decoder
JWT-Tokens analysieren und interpretieren
Der JWT-Decoder zerlegt Base64-kodierte JSON Web Tokens in die drei lesbaren Bestandteile Header, Payload und Signatur. Das Tool analysiert automatisch Standard-Claims wie Ablaufzeit und Aussteller und stellt sie übersichtlich im JSON-Format dar. Frontend- und Backend-Entwickler können damit OAuth-Authentifizierungsabläufe debuggen, API-Autorisierungsprobleme untersuchen oder die Funktionsweise von JWT in der Praxis nachvollziehen.
📖 Anleitung
- Fügen Sie das JWT-Token in das Eingabefeld ein
- Header und Payload werden automatisch dekodiert
- Überprüfen Sie Ablaufzeit und Claim-Informationen
- Token-Gültigkeit kann überprüft werden
✨ Funktionen
- ✓Automatische Header/Payload-Dekodierung
- ✓Ablaufzeit-Überprüfung
- ✓Claim-Informationen anzeigen
- ✓Gültigkeitsstatus anzeigen
- ✓JSON-Format-Ausgabe
💡 Anwendungsfälle
- •Backend-Entwicklung: Token-Inhalte in OAuth 2.0/OpenID Connect Authentifizierungsabläufen prüfen
- •Frontend-Entwicklung: In Cookies oder localStorage gespeicherte JWTs auf Ablauf prüfen
- •API-Testing: Benutzerberechtigungen und Rollen in JWT-Token aus API-Antworten verifizieren
- •Security-Audit: JWTs auf versehentlich enthaltene sensible Daten untersuchen
- •Weiterbildung: JWT-Token dekodieren, um die Header/Payload/Signatur-Struktur zu verstehen
- •Fehleranalyse: Ausstellungszeit, Ablaufzeit und benutzerdefinierte Claims schnell überprüfen
🎯 Tipps
- ▸Beachten Sie: Der JWT-Payload ist nur Base64-kodiert, nicht verschlüsselt – speichern Sie keine Passwörter darin
- ▸Beim Prüfen des exp-Claims beachten: Der Zeitstempel ist im Unix-Format (Sekunden). Das Tool konvertiert automatisch in ein lesbares Datum
- ▸Vergleichen Sie iss (Aussteller) und aud (Empfänger) Claims, um sicherzustellen, dass der Token vom erwarteten Auth-Service stammt
- ▸Falls die Dekodierung fehlschlägt, prüfen Sie, ob der vollständige JWT-String mit allen drei durch Punkte getrennten Teilen eingefügt wurde
❓ Häufig gestellte Fragen
Q. Wird auch die JWT-Signatur verifiziert?
A. Nein, dieses Tool dekodiert und zeigt den Inhalt an, verifiziert aber nicht die Signatur. Signaturprüfung erfordert den entsprechenden Schlüssel (symmetrisch oder öffentlich) und gehört zur serverseitigen Sicherheitslogik.
Q. Was sind die drei Teile eines JWT?
A. Der Header definiert Tokentyp und Signaturalgorithmus (z.B. HS256, RS256). Der Payload enthält Benutzerdaten und Standard-Claims (sub, exp, iat). Die Signatur ist ein kryptographischer Hash der ersten beiden Teile zum Schutz vor Manipulation.
Q. Warum wird "Abgelaufen" angezeigt?
A. Das exp-Feld im JWT enthält einen Ablauf-Zeitstempel. Liegt die aktuelle Zeit dahinter, markiert das Tool den Token als abgelaufen. In der Praxis werden abgelaufene JWTs vom Server abgewiesen.
Q. Ist JWT verschlüsselt?
A. Standard-JWT (JWS) ist nur signiert, nicht verschlüsselt – jeder kann den Payload dekodieren. Für verschlüsselte Token-Inhalte ist der JWE-Standard (JSON Web Encryption) erforderlich.
Q. Können Refresh Tokens dekodiert werden?
A. Wenn der Refresh Token im JWT-Format vorliegt, ja. Viele Systeme verwenden jedoch opake Tokens (undurchsichtige Zeichenketten) als Refresh Tokens – diese können nicht dekodiert werden.
Q. Ist die JWT-Dekodierung sicher?
A. Das Tool läuft vollständig im Browser, JWT-Daten werden an keinen Server gesendet. Dennoch sollten Sie produktive Tokens mit sensiblen Daten nicht auf öffentlichen oder geteilten Geräten dekodieren.