JWT Decoder
JSON Web Tokens (JWT) dekodieren und untersuchen, um den Header-Algorithmus, Payload-Claims und Ablaufzeiten einzusehen. Unverzichtbar fuer das Debugging von OAuth 2.0, OpenID Connect und API-Authentifizierungsfluessen. Dieses Tool dekodiert nur — es wird keine Signaturverifizierung durchgefuehrt. Die gesamte Verarbeitung erfolgt in Ihrem Browser fuer vollstaendige Sicherheit.
JWT Decoder
Fuegen Sie einen JSON Web Token ein, um Header und Payload zu dekodieren. Es wird keine Signaturverifizierung durchgefuehrt.
So funktioniert es
Ein JSON Web Token besteht aus drei durch Punkte getrennten Teilen: header.payload.signature. Der Header gibt den Signaturalgorithmus an (z.B. HS256, RS256). Der Payload enthaelt Claims — Schluessel-Wert-Paare mit Informationen wie Benutzer-ID (sub), Ablaufzeit (exp), Aussteller (iss) und benutzerdefinierten Daten.
Sowohl Header als auch Payload sind Base64URL-kodierte JSON-Objekte. Dieser Decoder extrahiert und parst diese Teile und wandelt Base64URL zurueck in lesbares JSON um. Die Signatur (dritter Teil) wird zur Verifizierung verwendet, wird aber von diesem Tool nicht validiert.
Gaengige JWT-Claims
| Claim | Name | Beschreibung |
|---|---|---|
| iss | Issuer (Aussteller) | Wer den Token ausgestellt hat |
| sub | Subject (Subjekt) | Auf wen sich der Token bezieht (normalerweise Benutzer-ID) |
| aud | Audience (Empfaenger) | Beabsichtigter Empfaenger des Tokens |
| exp | Expiration (Ablauf) | Unix-Zeitstempel, wann der Token ablaeuft |
| iat | Issued At (Ausgestellt am) | Unix-Zeitstempel, wann der Token ausgestellt wurde |
| nbf | Not Before (Nicht vor) | Token ist vor diesem Zeitpunkt nicht gueltig |
Haeufige Anwendungsfaelle
- Authentifizierung debuggen: Token-Inhalte pruefen, um Login-Probleme, abgelaufene Sitzungen oder fehlende Berechtigungen zu beheben.
- API-Entwicklung: Ueberpruefen, ob Ihr Authentifizierungsserver die korrekten Claims in ausgestellten Tokens enthaelt.
- Sicherheitsaudit: Pruefen, welche Daten in JWTs exponiert werden (bedenken Sie: der Payload ist nicht verschluesselt, nur signiert).
- OAuth 2.0 lernen: Die Struktur und den Inhalt von Tokens verstehen, die in OAuth- und OpenID-Connect-Fluessen verwendet werden.
Haeufig gestellte Fragen
Was ist ein JWT?
Ein kompaktes, URL-sicheres Token-Format, definiert in RFC 7519, das zur sicheren Uebertragung von Claims zwischen Parteien verwendet wird, haeufig fuer Authentifizierung und Autorisierung in Webanwendungen.
Ist es sicher, JWTs im Browser zu dekodieren?
Ja. JWT-Payloads sind nicht verschluesselt — sie sind nur Base64-kodiert. Jeder mit dem Token kann den Payload lesen. Die Signatur verhindert Manipulation, verbirgt aber nicht den Inhalt.
Verifiziert dieses Tool die Signatur?
Nein. Dieses Tool dekodiert nur den Header und Payload zur Inspektion. Die Signaturverifizierung erfordert den geheimen oder oeffentlichen Schluessel, der niemals in einem Browser-Tool geteilt werden sollte.
Was ist Base64URL-Kodierung?
Eine Variante von Base64, die - anstelle von + und _ anstelle von / verwendet und das Padding (=) weglasst. Dadurch ist die kodierte Zeichenkette sicher fuer die Verwendung in URLs und HTTP-Headern.