JWT-Decoder
Header, Payload und Ablaufdatum werden offline dekodiert – der Token verlässt niemals Ihren Browser.
Signature (base64url — verify server-side)
Fügen Sie einen Token ein und sehen Sie alles: entschlüsselten Header und Payload, jeden in Ihre lokale Zeitzone konvertierten Zeitanspruch mit relativem Alter, ein nicht zu übersehendes EXPIRED-Badge und eine Sicherheitswarnung, wenn der Token den gefährlichen None-Algorithmus verwendet. Die Dekodierung erfolgt vollständig auf Ihrem Gerät – öffnen Sie DevTools und beobachten Sie: keine Netzwerkanfragen. Testen Sie die API, zu der das Token gehört? Unser cURL-zu-Code-Konverter ist nebenan.
Häufig gestellte Fragen
Ist es sicher, hier ein echtes JWT einzufügen?
Das Token wird vollständig in Ihrem Browser entschlüsselt – es wird keine Netzwerkanfrage gestellt, nichts wird protokolliert oder gespeichert und die Seite funktioniert offline, sobald sie geladen ist. Behandeln Sie Produktions-Token jedoch wie Passwörter zur Gewohnheit: Bevorzugen Sie abgelaufene Token oder Staging-Token, wenn Sie in einem Online-Tool Fehler beheben.
Was genau ist in einem JWT enthalten?
Drei durch Punkte getrennte Base64URL-Teile: ein Header (Algorithmus + Typ), eine Nutzlast (Ihre Ansprüche – Benutzer-ID, Rollen, Ablauf) und eine Signatur. Die ersten beiden sind nur codiert, NICHT verschlüsselt – jeder mit dem Token kann sie lesen, und genau das zeigt dieser Decoder.
Wird dadurch die Signatur überprüft?
Nein – für die Verifizierung ist der geheime oder öffentliche Schlüssel erforderlich, der niemals in eine Webseite eingefügt werden sollte. Dieses Tool dekodiert und prüft Ansprüche (das Debuggen beträgt 95 %); Überprüfen Sie Signaturen serverseitig mit der JWT-Bibliothek Ihres Frameworks.
Warum ist alg=none rot markiert?
Der berüchtigte „None-Algorithmus“-Angriff: Einige alte Bibliotheken akzeptierten unsignierte Token, wenn der Header „alg none“ beanspruchte, wodurch Angreifer jede Identität fälschen konnten. Server müssen solche Token vollständig ablehnen – die rote Flagge erinnert Sie daran, dies bei Ihrem Server zu überprüfen.
Was bedeuten exp, iat und nbf?
Unix-Zeitstempel, die die Gültigkeit regeln: iat = bei Ausstellung, nbf = vorher nicht gültig, exp = Ablauf. Der Decoder rechnet alles in Ihre Ortszeit mit einer relativen Beschreibung („vor 2 Stunden“) um und zeigt bei Bedarf ein deutliches ABGELAUFEN-Symbol an.