Handytool
Entwickler-Anleitung5 Min. LesezeitAktualisiert 24. Feb. 2026

Sofortiges Entwickler-Tool

Dekodiere jeden JWT und inspiziere seine Claims sofort

Handytool's JWT-Decoder zerlegt jeden JSON Web Token in Header, Payload und Claims — mit Ablauf-Checks und lesbaren Zeitstempeln — alles in deinem Browser, ohne einen Server zu kontaktieren.

JWT-Decoder öffnenAlle Artikel

Wichtigste Erkenntnisse

  • 01Dekodiere jeden JWT und inspiziere Header, Payload und Standard-Claims in einem Schritt.
  • 02Die Claims exp, nbf und iat werden in lesbare Zeitstempel mit gültig/abgelaufen-Tags konvertiert.
  • 03Das Dekodieren erfolgt rein lokal — sicher zum Einfügen echter Produktions-Token beim Debuggen.
  • 04Der Decoder verifiziert Signaturen nicht — das muss serverseitig mit dem Schlüssel des Ausstellers erfolgen.

Warum du einen JWT-Decoder brauchst

JSON Web Tokens sehen wie Zufallszeichenfolgen aus, bis du weißt, dass sie aus drei Base64URL-kodierten Segmenten bestehen, die durch Punkte getrennt sind. Das erste Segment ist der Header (Algorithmus und Token-Typ), das zweite ist der Payload (die Claims: Benutzer-ID, Rollen, Ablauf), und das dritte ist die Signatur. Beim Debuggen eines Authentifizierungsproblems, einer abgelaufenen Sitzung oder einer fehlerhaften OAuth-Integration musst du zunächst den Payload lesen.

Das von Hand zu tun bedeutet, bei Punkten zu teilen, Base64URL zu dekodieren und Unix-Zeitstempel in lesbare Daten umzuwandeln. Handytool's JWT-Decoder macht das alles automatisch und fügt Gültigkeits-Tags bei den Timing-Claims hinzu, damit du auf einen Blick sehen kannst, ob ein Token noch aktiv ist.

Wie man einen JWT-Token dekodiert

  1. 01

    Kopiere den JWT

    Hole dir den Token aus den DevTools deines Browsers (Application > Cookies oder das Network-Panel Authorization Header), aus einer Log-Datei oder deinem API-Client.

  2. 02

    Füge ihn in den Decoder ein

    Füge den vollständigen Token — einschließlich aller drei durch Punkte getrennten Segmente — in das Eingabefeld ein. Der Decoder identifiziert die Segmente automatisch.

  3. 03

    Lese Header und Payload

    Das Tool teilt den Token auf und zeigt den Header (Algorithmus, Typ) und Payload (alle Claims) als formatiertes JSON an.

  4. 04

    Überprüfe die Timing-Claims

    Die Unix-Zeitstempel exp (Ablauf), nbf (nicht davor) und iat (ausgestellt am) werden in ISO-Daten konvertiert. Der Decoder kennzeichnet exp als grün (gültig) oder rot (abgelaufen) relativ zu deiner aktuellen lokalen Zeit.

Standard-JWT-Claims erklärt

Diese registrierten Claim-Namen erscheinen in den meisten JWTs.

  • 01iss (Issuer) — identifiziert, wer den Token erstellt hat, normalerweise eine URL oder ein Servicename.
  • 02sub (Subject) — der Prinzipal, den der Token darstellt, normalerweise eine Benutzer-ID.
  • 03aud (Audience) — die beabsichtigten Empfänger des Tokens; dein Server sollte Token für andere ablehnen.
  • 04exp (Expiration) — Unix-Zeitstempel, nach dem der Token abgelehnt werden muss.
  • 05nbf (Not Before) — Unix-Zeitstempel, vor dem der Token abgelehnt werden muss.
  • 06iat (Issued At) — Unix-Zeitstempel, wann der Token erstellt wurde; nützlich zum Erkennen veralteter Token.

Sicher zum Einfügen echter Token beim Debuggen

JWT-Dekodierung erfolgt vollständig in deinem Browser mit der nativen atob-Funktion und JSON.parse. Nichts wird an einen Server übertragen — dein Token wird im Speicher dekodiert und lokal angezeigt. Du kannst sicher echte Zugriffs-Token und Sitzungs-Token aus Entwicklungs- oder Staging-Umgebungen einfügen, um Authentifizierungsabläufe zu debuggen.

Behandle JWTs dennoch wie Passwörter. Sie gewähren Zugriff auf deine Systeme für ihre gesamte Lebensdauer. Füge keine Produktions-Token von hochprivilegierten Konten in ein Tool ein, es sei denn, du bist dir der Datenschutzgarantien des Tools sicher — und rotiere immer einen Token, wenn du glaubst, dass er möglicherweise offengelegt wurde.

JWT-Decoder FAQ

Was ist ein JWT?

Ein JSON Web Token ist ein kompaktes, URL-sicheres Format, das aus drei Base64URL-Segmenten (Header, Payload, Signatur) besteht, die durch Punkte getrennt sind. JWTs enthalten Claims — Aussagen über einen Benutzer oder eine Sitzung — und werden für Authentifizierung, Autorisierung und API-Zugriff verwendet.

Verifiziert dieser Decoder die JWT-Signatur?

Nein. Der Decoder analysiert nur Header und Payload. Die Signaturverifizierung erfordert den geheimen oder öffentlichen Schlüssel des Ausstellers und muss in deinem Anwendungscode mit einer vertrauenswürdigen Bibliothek erfolgen.

Ist es sicher, einen echten Zugriffs-Token hier einzufügen?

Das Dekodieren erfolgt vollständig lokal — der Token wird nie übertragen. JWTs gewähren jedoch echten Zugriff, also behandle sie wie Passwörter. Teile sie nicht, committe sie nicht in die Versionskontrolle, und rotiere sie, wenn sie möglicherweise offengelegt wurden.

Was bedeutet der exp-Claim?

exp ist der Ablauf-Zeitstempel — eine Unix-Ganzzahl, die den Moment darstellt, in dem der Token ungültig wird. Der Decoder konvertiert ihn in ein lesbares ISO-Datum und kennzeichnet ihn als gültig oder abgelaufen relativ zu deiner aktuellen lokalen Zeit.

Warum ist der JWT-Payload ohne Schlüssel sichtbar?

JWT-Payloads sind Base64URL-kodiert, nicht verschlüsselt. Sie sind lesbar — die Signatur beweist nur Authentizität, nicht Vertraulichkeit. Gib niemals wirklich geheime Daten in einen JWT-Payload ein, es sei denn, du verwendest JSON Web Encryption (JWE).

Ist der Decoder kostenlos?

Ja. Handytool ist kostenlos ohne Anmeldung, ohne Ratenlimits und ohne Datenerfassung.

Verwandte Tools

Weiterarbeiten mit Werkzeug-Tools

Werkzeug-Tools