Handytool
WerkzeugKostenlosLäuft lokal

JWT-Decoder

Dekodiere JSON Web Tokens und inspiziere ihre Header, Payload und Claims — alles in deinem Browser, nie an einen Server gesendet.

JWT
0 Zeilen0 Bytes
Dekodiert
0 Zeilen0 Bytes

Handytool dekodiert nur Header und Payload. Signaturen müssen server-seitig mit dem Schlüssel des Issuers verifiziert werden.

Über JWT-Decoder

Handytools JWT-Decoder analysiert jeden JSON Web Token in seinen Header und Payload, hebt die Standard-Claims hervor (iss, sub, aud, iat, exp, nbf) und zeigt an, ob das Token bereits abgelaufen ist. Weil Dekodierung rein lokal erfolgt, kannst du echte Access-Tokens und Session-Tokens einfügen, ohne dass sie dein Gerät verlassen. Nützlich beim Debuggen von Auth-Flows, OAuth-Integrationen oder Third-Party-APIs, die opak aussehende JWTs zurückgeben.

Funktionen von JWT-Decoder

  • 01

    Header, Payload und Claims auf einen Blick

    Der Decoder teilt dein JWT in seine drei Segmente auf, formatiert Header und Payload als JSON und zeigt Standard-Claims — Algorithmus, Subject, Issuer, Audience, Issued-at, Expiry — in einer kompakten Zusammenfassung über der rohen Ausgabe.

  • 02

    Ablauf- und Zeit-Überprüfungen

    Der exp Claim wird in einen ISO-Zeitstempel übersetzt und als gültig oder abgelaufen relativ zu deiner aktuellen Uhr gekennzeichnet. Dasselbe für nbf (not-before) und iat (issued-at). Keine manuellen Unix-zu-Datum Konvertierungen mehr.

  • 03

    Nur Decoder — nie hochgeladen

    Tokens werden in deinem Browser mit nativen atob dekodiert. Nichts wird je an einen Server gesendet. Sicher zum Einfügen von Production-JWTs, API-Access-Tokens oder Session-Cookies beim Debuggen.

FAQ zu JWT-Decoder

Was ist ein JWT?
Ein JSON Web Token ist ein kompaktes, URL-sicheres Token-Format aus drei Base64URL-kodierten Segmenten, getrennt durch Punkte: ein Header (Algorithmus und Typ), eine Payload (die Claims) und eine Signatur. JWTs werden weit verbreitet für Authentifizierung, Autorisierung und kurzlebige API-Access verwendet.
Verifizt dieser Decoder die Signatur?
Nein. Der Decoder analysiert nur Header und Payload, um zu zeigen, was innen drin ist. Signatur-Verifikation erfordert das Geheimnis oder den öffentlichen Schlüssel des Issuers, der auf deinem Server bleiben muss — füge es nie in ein Web-Werkzeug ein. Verifiziere Signaturen server-seitig in deiner App.
Ist es sicher, einen echten JWT hier einzufügen?
Dekodierung erfolgt vollständig in deinem Browser — das Token wird nie übertragen. Allerdings sind JWTs nicht verschlüsselt (jeder mit dem Token kann die Claims lesen), daher behandle sie wie Passwörter: nicht teilen, nicht committen und rotatiere sie, wenn sie durchsickern.
Warum wird die Signatur gezeigt, aber nicht verifiziert?
Die Signatur wird angezeigt, damit du sie beim Debuggen mit dem vergleichen kannst, was dein Server produziert. Echte Verifikation erfordert den Signing-Key (HMAC-Geheimnis oder RSA/EC-Öffentlicher-Schlüssel), auf den der Decoder keinen Zugriff hat und auch nicht sollte.
Was bedeutet "exp"?
exp ist der Ablauf-Claim — ein Unix-Zeitstempel, nach dem das Token abgelehnt werden sollte. Der Decoder konvertiert es zu einem ISO-Zeitstempel und zeigt ein grünes Label, wenn es noch in der Zukunft liegt, oder ein rotes Label, wenn das Token bereits abgelaufen ist.

Verwandte Werkzeuge

Werkzeug

Weitere Tools entdecken

Alle Werkzeuge