Zum Inhalt springen
FileTinker
Alle Datei-Tools

JWT Decoder

Fügen Sie ein JSON Web Token ein, um sofort dessen Header und Payload zu dekodieren und zu sehen, wann es abläuft. Es wird ausschließlich dekodiert und läuft vollständig in Ihrem Browser, sodass selbst Produktiv-Tokens privat bleiben.

Anleitung: JWT dekodieren

  1. Fügen Sie Ihr JWT ein (die Zeichenfolge header.payload.signature).
  2. Lesen Sie den dekodierten Header und Payload als formatiertes JSON.
  3. Prüfen Sie die Ablauf- und Ausstellungszeiten, die als lesbare Daten angezeigt werden.

Über JSON Web Tokens

Ein JSON Web Token (JWT) bündelt drei mit base64url kodierte und durch Punkte getrennte Teile: einen Header (Signaturalgorithmus und Typ), einen Payload (die Claims, etwa Subjekt und Ablaufzeit) und eine Signatur. Das Dekodieren der ersten beiden Teile zeigt genau, was ein Token aussagt — was beim Debuggen von Authentifizierung und Autorisierung von unschätzbarem Wert ist.

Dieses Tool dekodiert nur — es verifiziert die Signatur nicht, da die Verifizierung den Schlüssel (Secret oder Public Key) erfordert, mit dem das Token signiert wurde. Beachten Sie, dass der Payload eines JWT kodiert, nicht verschlüsselt ist: Jeder, der das Token besitzt, kann es lesen, legen Sie daher niemals Geheimnisse in den Claims ab. Das Dekodieren erfolgt hier lokal, sodass das Einfügen eines echten Tokens es keinem Server preisgibt.

Häufige Fragen

Verifiziert dies die Signatur?

Nein. Dies ist ein Decoder, kein Verifizierer — er liest Header und Payload, prüft aber nicht die Signatur, was das Signatur-Secret oder den Public Key erfordern würde. Vertrauen Sie dem Inhalt eines Tokens niemals, ohne ihn serverseitig zu verifizieren.

Wird mein Token irgendwohin gesendet?

Nein. Das Dekodieren erfolgt vollständig in Ihrem Browser, sodass Ihr JWT niemals hochgeladen oder protokolliert wird — sicher für die Prüfung echter, sensibler Tokens.

Ist ein JWT verschlüsselt?

Nein. Header und Payload sind mit base64url kodiert, nicht verschlüsselt, sodass jeder mit dem Token sie lesen kann. Die Signatur belegt nur, dass das Token nicht manipuliert wurde; sie verbirgt den Inhalt nicht.

Was bedeuten exp und iat?

Es handelt sich um standardmäßige Zeit-Claims: iat gibt an, wann das Token ausgestellt wurde, und exp, wann es abläuft, beide als Unix-Zeitstempel. Dieses Tool zeigt sie als lesbare Daten an und kennzeichnet, ob das Token abgelaufen ist.