DevToolbox

Kostenlos Online JWT Decoder

JWT-Token online dekodieren und prüfen. Header, Payload-Claims und Ablaufstatus sofort anzeigen. 100 % clientseitig – Ihr Token verlässt niemals Ihren Browser.

100% Client-seitig · Ihre Daten verlassen nie Ihren Browser

Anleitung JWT Decoder

Fügen Sie Ihr JWT in das Eingabefeld ein. JWTs bestehen aus drei durch Punkte getrennten Base64url-Strings: header.payload.signature.

  • Klicken Sie auf Dekodieren oder drücken Sie Ctrl/Cmd+Enter, um den Token zu analysieren.
  • Das Header-Panel zeigt Algorithmus und Token-Typ.
  • Das Payload-Panel zeigt alle Claims mit farblicher Hervorhebung des Ablaufstatus.
  • Der Abschnitt Signature zeigt die rohe Signatur – eine Verifikation wird nicht durchgeführt (erfordert Ihren geheimen Schlüssel).

Nutzen Sie Beispiel laden, um einen Demo-Token auszuprobieren, ohne eigene Zugangsdaten einzufügen.

Häufig gestellte Fragen

Was ist ein JWT?

Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Token-Format, das für Authentifizierung und Autorisierung verwendet wird. Es besteht aus drei Base64url-kodierten Teilen, die durch Punkte getrennt sind: einem Header (Algorithmus), einem Payload (Claims) und einer Signature (Signatur).

Überprüft dieses Tool die JWT-Signatur?

Nein. Die Signaturverifikation erfordert den geheimen Schlüssel und muss serverseitig erfolgen. Dieses Tool dekodiert nur Header und Payload – es zeigt die Claims an, kann aber nicht bestätigen, ob der Token legitim signiert wurde.

Wird mein JWT an einen Server gesendet?

Nein. Der Token wird vollständig in Ihrem Browser mithilfe von JavaScript-Zeichenkettenoperationen dekodiert. Es werden keinerlei Daten an einen externen Server übermittelt.

Was bedeutet „Läuft bald ab"?

Wenn der exp-Claim (Ablaufzeit) des Tokens innerhalb von 5 Minuten ab dem aktuellen Zeitpunkt liegt, zeigt das Tool eine Warnung „Läuft bald ab" an. Token laufen exakt zum Unix-Timestamp ab, der im exp-Claim festgelegt ist.

Warum wird die Signatur angezeigt, aber nicht verifiziert?

Die Verifikation von HMAC- und RSA-Signaturen erfordert den geheimen bzw. öffentlichen Schlüssel, den Sie niemals in ein Web-Tool einfügen sollten. Die rohen Signatur-Bytes werden ausschließlich zu Informationszwecken angezeigt.

Welche Claims enthält der Payload typischerweise?

Häufige registrierte Claims sind sub (Subject), iat (Issued At), exp (Expiration), nbf (Not Before), iss (Issuer) und aud (Audience). Anwendungen fügen außerdem anwendungsspezifische private Claims hinzu.

Verwandte Tools

Base64 Encoder / Decoder
Text, Bilder und Dateien nach Base64 kodieren oder Base64-Strings dekodieren — kostenlos, online und 100% clientseitig. Kein Upload erforderlich.
JSON Formatter & Validator
JSON online formatieren, minifizieren und validieren – mit Syntaxhervorhebung und Fehlerzeilenerkennung. Kostenlos, 100% clientseitig – deine Daten verlassen den Browser nie.
Unix Timestamp Converter
Unix-Zeitstempel in lesbare Datums- und Zeitangaben umrechnen und umgekehrt. Live-Anzeige des aktuellen Zeitstempels. Unterstützt Zeitzonen, Millisekunden und ISO 8601. Kostenlos und 100% clientseitig.

Verwandte Artikel

How to Read and Decode a JWT Token
6 min read