JWT Decoder - JWTs in Ihrem Browser dekodieren und verifizieren

// JWTs dekodieren ohne Daten an einen Server zu senden

Nur clientseitig — Ihre Daten verlassen nie den Browser
Token-Eingabe
JWT-Datei oder Text hier ablegen

Wie man JWT-Tokens dekodiert

1

JWT-Token einfügen

Kopieren Sie Ihr JSON Web Token und fügen Sie es in das Eingabefeld ein. Der JWT-Decoder analysiert und dekodiert das Base64URL-kodierte Token automatisch und sofort.

2

Dekodierte Claims anzeigen

Untersuchen Sie den dekodierten JWT-Header und Payload. Zeigen Sie Claims wie iss, sub, exp und iat im JSON- oder Tabellenformat mit lesbaren Zeitstempeln an.

3

JWT-Signatur verifizieren

Geben Sie Ihren geheimen Schlüssel oder öffentlichen Schlüssel ein, um die Signatur des Tokens zu verifizieren. Unterstützt HS256, HS384, HS512 (HMAC) Algorithmen zur Signaturvalidierung.

Was ist ein JSON Web Token (JWT)?

Header . Payload . Signatur

Ein JSON Web Token (JWT) ist ein offener Standard (RFC 7519) zur sicheren Übertragung von Informationen zwischen Parteien als kompaktes, URL-sicheres JSON-Objekt. JWTs werden häufig für Authentifizierung, Autorisierung und Informationsaustausch in modernen Webanwendungen, APIs und Single Sign-On (SSO)-Systemen verwendet.

Header

Enthält den Token-Typ und Signaturalgorithmus (z.B. HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

Payload

Enthält Claims: registrierte (iss, exp, sub), öffentliche und private Claims.

{"sub": "user123", "exp": 1699999999}

Signatur

Kryptografische Signatur, die verifiziert, dass das Token nicht manipuliert wurde.

HMACSHA256(base64(header).base64(payload), secret)

Häufige JWT-Anwendungsfälle

API-Authentifizierung

JWTs sind der Standard zur Absicherung von REST-APIs. Nach der Anmeldung stellt der Server ein JWT aus, das der Client im Authorization: Bearer-Header für nachfolgende Anfragen einbezieht.

Single Sign-On (SSO)

JWTs ermöglichen nahtlose Authentifizierung über mehrere Anwendungen hinweg. Eine Anmeldung generiert ein Token, das in allen verbundenen Diensten Ihrer Organisation funktioniert.

Informationsaustausch

Übertragen Sie Daten sicher zwischen Parteien. Die Signatur gewährleistet die Identität des Absenders und dass die Nachricht während der Übertragung nicht verändert wurde.

Mobile App-Authentifizierung

Zustandslose Authentifizierung ideal für mobile Apps. Keine serverseitigen Sitzungen erforderlich—das JWT enthält alle notwendigen Benutzerinformationen.

Häufig gestellte Fragen

Ist dieser JWT-Decoder sicher für die Verwendung mit Produktions-Tokens?

Ja, dieser JWT-Decoder ist absolut sicher. Alle Dekodierungen und Verifizierungen erfolgen vollständig in Ihrem Browser mit JavaScript. Ihre Tokens und geheimen Schlüssel werden nie an einen Server gesendet. Sie können dies überprüfen, indem Sie die Netzwerkanfragen in den Entwicklertools Ihres Browsers prüfen—keine Daten verlassen Ihr Gerät.

Was ist der Unterschied zwischen Dekodieren und Verifizieren eines JWT?

Dekodieren konvertiert einfach den Base64URL-kodierten Header und Payload zurück in lesbares JSON. Jeder kann ein JWT ohne Schlüssel dekodieren. Verifizieren prüft die kryptografische Signatur, um sicherzustellen, dass das Token nicht manipuliert wurde und von einer vertrauenswürdigen Quelle stammt. Die Verifizierung erfordert den geheimen Schlüssel (für HMAC) oder öffentlichen Schlüssel (für RSA/ECDSA).

Welche JWT-Signaturalgorithmen werden unterstützt?

Dieses Tool kann JWTs dekodieren, die mit jedem Algorithmus signiert wurden. Für die Signaturverifizierung unterstützen wir derzeit HMAC-Algorithmen (HS256, HS384, HS512) mit der Web Crypto API. Unterstützung für RSA (RS256, RS384, RS512) und ECDSA (ES256, ES384, ES512) Verifizierung ist geplant.

Warum schlägt meine JWT-Signaturverifizierung fehl?

Häufige Gründe sind: 1) Falscher geheimer Schlüssel—stellen Sie sicher, dass Sie exakt denselben Schlüssel verwenden, mit dem das Token signiert wurde. 2) Falsches Format—versuchen Sie zwischen UTF-8 und Base64 zu wechseln, wenn Ihr Secret Base64-kodiert ist. 3) Algorithmus-Nichtübereinstimmung—prüfen Sie, ob der alg-Claim im Header mit Ihrer Verifizierungsmethode übereinstimmt. 4) Token wurde modifiziert—jede Änderung am Header oder Payload macht die Signatur ungültig.

Was bedeuten die Standard-JWT-Claims?

Registrierte Claims definiert in RFC 7519:

  • iss (Aussteller) – Wer das Token ausgestellt hat
  • sub (Betreff) – Der Benutzer oder die Entität, die das Token repräsentiert
  • aud (Empfänger) – Beabsichtigter Empfänger des Tokens
  • exp (Ablauf) – Unix-Zeitstempel, wann das Token abläuft
  • nbf (Nicht vor) – Token ist vor diesem Zeitpunkt nicht gültig
  • iat (Ausgestellt am) – Wann das Token erstellt wurde
  • jti (JWT ID) – Eindeutiger Bezeichner für das Token