MT
My Toolbox

Kostenloser Online JWT-Decoder — Token sicher prüfen

JSON Web Token einfügen und sofort den decodierten Header, Payload, Claims und Ablaufstatus sehen. Alles läuft im Browser — Ihr Token verlässt nie Ihr Gerät.

JWT Token einfügen

Ihr Token bleibt in Ihrem Browser. Nichts wird an einen Server gesendet.

Was ist ein JWT?

Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Format zum Übertragen von Claims zwischen zwei Parteien. Es ist das Standard-Bearer-Token-Format für OAuth 2.0, OpenID Connect und die meisten modernen API-Authentifizierungsschemata.

Ein JWT besteht aus drei Base64URL-codierten Teilen, getrennt durch Punkte: header.payload.signature. Der Header deklariert den Signaturalgorithmus (z.B. HS256, RS256). Der Payload enthält registrierte Claims wie "exp" (Ablauf) und "iat" (ausgestellt am) sowie benutzerdefinierte Daten. Die Signatur stellt sicher, dass der Token nicht manipuliert wurde.

Dieser Decoder teilt den Token, decodiert Header und Payload aus Base64URL, parst sie als JSON und prüft den "exp"-Claim gegen die aktuelle Zeit.

Anleitung

  1. JWT in das Textfeld einfügen. Die Decodierung erfolgt sofort.
  2. Den decodierten Header prüfen: Algorithmus und Token-Typ bestätigen.
  3. Payload-Claims prüfen: sub, exp, iat und benutzerdefinierte Felder.
  4. Status-Badge beachten — zeigt an, ob der Token abgelaufen oder aktiv ist.
  5. Kopieren-Button für formatiertes JSON zum Debuggen nutzen.

Anwendungsfälle

Authentifizierungsflüsse debuggen

Login funktioniert im Staging, aber nicht in Produktion? Token aus beiden Umgebungen einfügen und Claims vergleichen. Unterschiedlicher Issuer? Falsches Audience? Fehlende Rollen? Sofort sichtbar.

Token-Ablauf während der Entwicklung prüfen

API gibt 401 zurück und Sie sind unsicher ob Token oder Endpoint? Hier einfügen für die genaue UTC-Ablaufzeit.

Token vor dem Teilen prüfen

Bevor Sie einen Token in Slack oder einen Bug-Report einfügen, decodieren und sicherstellen, dass keine sensiblen Daten enthalten sind.

JWT-Struktur lernen

Erste JWT-Implementierung? Beispiel-Token einfügen und sehen, wie Header, Claims und Signatur zusammenhängen.

Sicherheitstipps

1.

JWT nie ohne Signaturprüfung vertrauen

Decodieren ist NICHT Verifizieren. Dieses Tool zeigt den Inhalt, aber in Produktion muss die Signatur mit dem Schlüssel des Ausstellers geprüft werden.

2.

Token kurzlebig halten

Access-Token sollten in Minuten ablaufen. Refresh-Token für lange Sitzungen verwenden. Ein exp mit Wochen Vorlauf ist ein Sicherheitsrisiko.

3.

Keine Geheimnisse in den Payload

JWTs sind codiert, nicht verschlüsselt. Jeder mit dem Token kann ihn decodieren. Niemals Passwörter oder API-Keys in Claims speichern.

4.

Algorithmus-Header prüfen

Der "alg":"none"-Angriff ist gut dokumentiert. "none" in Produktion bedeutet ein Problem. Immer HS256, RS256 oder stärker verwenden.

Beispiele

Standard HS256 Token

Ein typischer Access-Token mit Standard-Claims.

Input

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIiwiZXhwIjoyMDAwMDAwMDAwfQ.signature

Output

{
  "alg": "HS256",
  "typ": "JWT"
}

{
  "sub": "1234567890",
  "name": "Jane Doe",
  "exp": 2000000000
}

Abgelaufener Token

Token mit exp in der Vergangenheit — der Decoder markiert ihn als abgelaufen.

Input

eyJhbGciOiJub25lIn0.eyJleHAiOjF9.signature

Output

Header: { "alg": "none" }
Payload: { "exp": 1 }
Status: ABGELAUFEN (1970-01-01T00:00:01.000Z)

Funktionen

  • Sofortige Decodierung beim Tippen
  • 100% clientseitig, keine Netzwerkanfragen nach Seitenladen
  • Ablaufstatus mit genauem UTC-Zeitstempel
  • Getrennte Anzeige von Header, Payload und Signatur
  • Ein-Klick-Kopie für jeden Abschnitt
  • Datenschutz zuerst: Token verlässt nie den Browser

Häufige Fragen

Ist es sicher, meinen Produktions-JWT hier einzufügen?

Ja. Das Tool läuft komplett im Browser mit atob(). Im DevTools-Netzwerk-Tab verifizierbar: keine Anfragen beim Einfügen.

Kann die Signatur verifiziert werden?

Nein. Signaturprüfung erfordert den Signaturschlüssel. Dieses Tool decodiert und zeigt nur den Inhalt.

Was bedeutet "alg: none"?

Der Token hat keine kryptographische Signatur. Ein bekannter Angriffsvektor (CVE-2015-9235). Seriöse Systeme verwenden "none" nie in Produktion.

Kann JWE (verschlüsselte Token) decodiert werden?

Nein. Nur JWS (signierte Token). JWE hat 5 Teile und erfordert den Entschlüsselungsschlüssel.

Tipps & Verwandte Workflows