CiphersOnline
Verschlüsselung Online
Kodierung
JWT Decoder

JWT Decoder Online

Dekodiere und prüfe JWT- und Bearer-Token direkt im Browser. Sieh dir Header, Payload, Claims, Ablaufzeit und Token-Struktur für Auth-Debugging, OAuth-Flows und API-Integrationen an.

Eingabe
0 Zeichen · 0 Bytes
Ausprobieren:
Ergebnis
✓ Token ohne Signaturprüfung dekodieren ✓ Header und Payload einsehen ✓ Kein Schlüssel zum Lesen des Inhalts erforderlich ✓ Verarbeitung erfolgt lokal im Browser
Beispiele
Ein einfaches JWT dekodieren
Eingabe eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ik1heCBNdXN0ZXJtYW5uIiwiaWF0IjoxNTE2MjM5MDIyfQ.signature
Ausgabe Header: { "alg": "HS256", "typ": "JWT" } Payload: { "sub": "1234567890", "name": "Max Mustermann", "iat": 1516239022 }

Prüfe Header und Payload des JWT, ohne die Signatur zu verifizieren.

Ein Bearer-Token dekodieren
Eingabe Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature
Ausgabe Header: { "alg": "HS256", "typ": "JWT" } Payload: { "iss": "api.example.com", "aud": "my-app", "scope": "read:users", "exp": 1924992000 }

Bearer-Präfixe sind in Authorization-Headern üblich und können vor der JWT-Prüfung entfernt werden.

Ablauf-Claim prüfen
Eingabe eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature
Ausgabe Header: { "alg": "RS256", "typ": "JWT" } Payload: { "sub": "user_42", "exp": 1924992000, "iat": 1717200000, "role": "admin" }

JWT-Claims wie exp und iat sind Unix timestamps und helfen beim Debugging abgelaufener oder noch nicht gültiger Token.

Einen JWT-Payload erstellen
Eingabe {"sub":"user_42","role":"admin","exp":1924992000}
Ausgabe eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Kodiere einen JSON-Payload als Base64URL-JWT-Payload-Segment. Das hilft zu verstehen, wie JWT-Claims vor dem Signieren dargestellt werden.

Wie der JWT Decoder funktioniert

Ein JSON Web Token (JWT) besteht normalerweise aus drei Teilen: Header, Payload und Signature. Diese Teile sind durch Punkte getrennt und mit Base64URL kodiert.

Dieser Decoder liest das Token, dekodiert Header und Payload und zeigt die JSON-Daten in lesbarer Form an. So lassen sich Claims wie issuer, subject, audience, Ausstellungszeit, Ablaufzeit, scopes, roles und benutzerdefinierte Anwendungsfelder prüfen.

Eine Signaturprüfung führt dieser Decoder nicht aus. Das Dekodieren zeigt, was im Token steckt, beweist aber nicht, dass das Token gültig, vertrauenswürdig oder unverändert ist.

JWT, Base64URL und Sicherheit

Header- und Payload-Abschnitte eines JWT sind kodiert, nicht verschlüsselt. Wer das Token besitzt, kann diese Teile dekodieren und ihren Inhalt lesen. Deshalb sollten sensible Geheimnisse nicht in einem JWT-Payload abgelegt werden, außer das Token wird über einen separaten Mechanismus verschlüsselt.

Der Signature-Abschnitt dient dazu, Manipulationen zu erkennen. Ein Server kann die Signatur je nach Algorithmus mit einem geheimen Schlüssel oder einem öffentlichen/privaten Schlüsselpaar prüfen. Dieses Tool ist für Inspektion und Debugging gedacht, nicht für kryptografische Validierung.

Häufige Debugging-Anwendungsfälle für JWT

JWT-Dekodierung wird häufig beim Debugging von Authentifizierung, OAuth, OpenID Connect, API-Autorisierung, access tokens, refresh tokens und Bearer-Token aus Authorization-Headern verwendet.

Entwickler prüfen JWTs oft, um Ablaufzeiten, Token-Issuer, Audience, scopes, roles, Berechtigungen, Benutzerkennungen und unerwartete Claim-Werte bei Login- oder API-Integrationsproblemen zu kontrollieren.

JWT Decode vs. JWT Verify

Das Dekodieren eines JWT macht nur Header und Payload lesbar. Es prüft nicht, ob das Token gültig, abgelaufen, vertrauenswürdig oder korrekt signiert ist.

Die Verifizierung eines JWT erfordert die Prüfung von Signatur, Algorithmus, issuer, audience, Ablaufzeit und weiteren Validierungsregeln deiner Anwendung. Dieser Decoder hilft beim Prüfen des Token-Inhalts; die vollständige Validierung muss dein Authentifizierungssystem übernehmen.

FAQ

JWT (JSON Web Token) ist ein kompaktes, in sich geschlossenes Token-Format für Authentifizierung und sicheren Datenaustausch. Es wird häufig in OAuth, OpenID Connect und als Bearer-Token in Authorization-Headern eingesetzt.

Nein. Dieses Tool dekodiert und prüft nur die Token-Struktur: Header, Payload und Claims. Signaturprüfung und Token-Validierung werden nicht durchgeführt.

Ja. Beim Dekodieren werden Base64URL-Daten lediglich in lesbares JSON umgewandelt.

Ja. Abgelaufene Token können weiterhin dekodiert und geprüft werden; das ist nützlich beim Auth-Debugging und bei der Untersuchung von Problemen mit access tokens.

Nein. Die gesamte Dekodierung läuft lokal in deinem Browser. Deine Token verlassen dein Gerät nicht.

JWT-Payloads sind mit Base64URL kodiert, nicht verschlüsselt. Sie sind darauf ausgelegt, lesbar zu sein; Vertraulichkeit liefert der Transportweg (HTTPS), nicht die Kodierung.

Die Signature ermöglicht dem Server zu prüfen, ob das Token manipuliert wurde. Sie wird aus Header und Payload mit einem geheimen Schlüssel oder privaten Schlüssel berechnet (RS256, HS256 usw.).

In der Regel nein. Ein Standard-JWT ist kodiert und signiert, aber nicht verschlüsselt. Header und Payload können von jeder Person dekodiert werden, die das Token besitzt.

Der exp-Claim speichert die Ablaufzeit des Tokens als Unix timestamp. Nach diesem Zeitpunkt sollte das Token vom Server nicht mehr akzeptiert werden.

Ein Bearer-Token ist ein Token, das in einem HTTP-Authorization-Header gesendet wird. Viele Bearer-Token sind JWTs, aber der Begriff beschreibt die Verwendung des Tokens und nicht zwingend sein Format.

Nein. JWT-Payloads sind nach dem Dekodieren meist lesbar. Lege keine Passwörter, API-Schlüssel, privaten Token oder andere Secrets in einem normalen JWT-Payload ab.
Verwandte Tools

Binär-Konverter Online

Wandeln Sie Text in 8-Bit-Binärgruppen um und dekodieren Sie binäre Bytes zurück in lesbaren Text.

ASCII-Konverter

Wandeln Sie ASCII-Zeichen und numerische Codes für Protokoll- und Parser-Workflows um.

Unicode-Konverter

Wandeln Sie Text in Unicode-Escapes um und dekodieren Sie Unicode-Escapes, HTML-Entitäten und mehrsprachigen Text.

Alle Kodierung und Datenkonvertierung →