JWT-Decoder
Dekodieren und inspizieren Sie jedes JSON-Web-Token. Header, Nutzlast und Signatur anzeigen. HS256-Signaturen mit einem Geheimnis verifizieren. Prufen, ob das Token abgelaufen ist. Die gesamte Verarbeitung lauft lokal in Ihrem Browser.
🔒 Die gesamte Verarbeitung erfolgt lokal in deinem Browser.
So verwenden Sie diesen JWT-Decoder
- Fugen Sie ein JWT-Token in den Eingabebereich ein — oder klicken Sie auf Beispiel laden.
- Das Token wird sofort dekodiert — Header zeigt Algorithmus und Typ, Nutzlast zeigt alle Anspruche.
- Der Token-Ablaufstatus wird automatisch angezeigt — grun fur gultig, rot fur abgelaufen.
- Geben Sie oben einen geheimen Schlussel ein, um HS256/HS384/HS512-Signaturen zu verifizieren.
- Klicken Sie auf Header kopieren oder Nutzlast kopieren, um einzelne Abschnitte zu kopieren.
Uber JWT-Token
JSON-Web-Token (JWTs) sind der dominante Standard fur zustandslose Authentifizierung in modernen Webanwendungen. Wenn Sie sich einloggen, gibt der Server ein signiertes JWT aus, das der Client mit jeder Anfrage sendet.
JWTs konnen sicher dekodiert und inspiziert werden — der Header und die Nutzlast sind nur Base64url-kodiertes JSON. Die Signatur ist das, was Manipulationen verhindert.
Dieses Tool verwendet die Web Crypto API, um HMAC-basierte Signaturen (HS256, HS384, HS512) lokal zu verifizieren. Fur RS256 und andere Public-Key-Algorithmen wurde der offentliche Schlussel des Ausstellers benotigt.
Häufig gestellte Fragen
Was ist ein JWT-Token? ▼
Ein JWT (JSON-Web-Token) ist ein kompaktes, URL-sicheres Format zur sicheren Ubertragung von Informationen zwischen Parteien als JSON-Objekt. Es besteht aus drei Teilen: Header, Nutzlast und Signatur. JWTs werden haufig fur Authentifizierung und Autorisierung verwendet.
Was zeigt ein JWT-Decoder? ▼
Der Header enthalt Metadaten uber das Token — den Signaturalgorithmus und Tokentyp. Die Nutzlast enthalt die Anspruche — vordefinierte Felder wie sub (Betreff), iat (ausgestellt am) und exp (Ablauf), plus benutzerdefinierte Anspruche. Die Signatur ist der kryptografische Beweis.
Wie verifiziere ich eine JWT-Signatur? ▼
Geben Sie das Token in den Decoder ein, dann den geheimen Schlussel (fur HMAC-Algorithmen wie HS256) und klicken Sie auf JWT dekodieren. Das Tool verifiziert, ob die Signatur gultig ist. Nur HMAC-basierte Algorithmen konnen lokal verifiziert werden.
Wird mein JWT an einen Server gesendet? ▼
Nein. Alle Dekodierung und Verifizierung erfolgt zu 100% in Ihrem Browser. Das Token verlasst nie Ihr Gerat. Sie konnen dieses Tool sogar offline verwenden.
Was bedeutet abgelaufen? ▼
Der exp (Ablauf)-Anspruch in einem JWT legt fest, wann das Token ungultig wird. Wenn die aktuelle Zeit vorbei ist, gilt das Token als abgelaufen. Dieses Tool zeigt den Ablaufstatus und wie lange bis zum Ablauf oder wie lange es her ist.
Kann ich ein JWT ohne Signaturverifizierung dekodieren? ▼
Ja. Sie konnen jedes JWT ohne Geheimnis dekodieren — der Header und die Nutzlast sind nur Base64url-kodiertes JSON, das von jedem gelesen werden kann.
Was ist der Unterschied zwischen HS256 und RS256? ▼
HS256 (HMAC mit SHA-256) ist ein symmetrischer Algorithmus — derselbe geheime Schlussel wird sowohl zum Signieren als auch zum Verifizieren verwendet. RS256 (RSA mit SHA-256) ist asymmetrisch — es verwendet einen privaten Schlussel zum Signieren und einen offentlichen zum Verifizieren.