JWT Payload & Header Decoder

Visualisieren und inspizieren Sie Header und Payload Ihrer JSON Web Tokens sofort.

Der JWT-Decoder ermöglicht es Ihnen, jeden JSON Web Token einzufügen und sofort dessen Header (Algorithmus, Token-Typ) und Payload (Claims, Ablauf, Aussteller) in einem lesbaren, strukturierten Format zu visualisieren. Die Dekodierung läuft vollständig in Ihrem Browser — Ihre sensiblen Tokens werden niemals an einen Server gesendet. Durchsuchen Sie Claims, kopieren Sie dekodierte Daten und verstehen Sie die Token-Struktur zur Fehlerbehebung von Authentifizierungsabläufen in Web- und Mobilanwendungen.

JWT-Eingabe

Dekodierte Struktur

Fügen Sie ein JWT ein, um mit der Dekodierung zu beginnen

Deine Daten bleiben in deinem Browser

Tutorial

Wie man es benutzt

Nutzungsschritt

Visualisieren und inspizieren Sie Header und Payload Ihrer JSON Web Tokens sofort.

Guide

Vollständiger Leitfaden zu JSON Web Tokens

Was ist ein JSON Web Token (JWT)?

Ein JSON Web Token (JWT, ausgesprochen 'dschot') ist ein kompaktes, URL-sicheres Mittel zur Darstellung von Claims, die zwischen zwei Parteien übertragen werden. Es besteht aus drei Base64Url-kodierten Teilen, getrennt durch Punkte: dem Header (der den Algorithmus und Token-Typ angibt), dem Payload (der Claims wie Benutzer-ID, E-Mail, Rollen und Ablaufzeit enthält) und der Signatur (zur Überprüfung, dass das Token nicht manipuliert wurde). JWTs sind der Standard für Authentifizierung in modernen Webanwendungen, APIs und Microservices-Architekturen.

Warum JWT-Dekodierung für Entwickler wichtig ist

Entwickler müssen häufig JWTs während der Authentifizierungsfehlerbehebung, API-Integration und Sicherheitsprüfung inspizieren. Zu verstehen, welche Claims ein Token enthält — wer es ausgestellt hat (iss), wann es abläuft (exp), welche Berechtigungen es gewährt (scope oder roles) — ist wesentlich für die Fehlerbehebung bei Login-Fehlern, Berechtigungsfehlern und Token-Erneuerungsproblemen. Ein JWT-Decoder verwandelt die opake Base64-Zeichenkette in lesbares JSON und macht diese Details sofort sichtbar, ohne benutzerdefinierten Code zu schreiben.

Wichtige JWT-Konzepte

Registrierte Claims sind standardisierte Felder: iss (Aussteller), sub (Betreff), aud (Zielgruppe), exp (Ablauf), nbf (nicht vor), iat (ausgestellt am), jti (eindeutige ID). Benutzerdefinierte Claims tragen anwendungsspezifische Daten wie Rollen oder Berechtigungen. Der Header gibt den Signaturalgorithmus an — üblicherweise HS256 (HMAC-SHA256) für symmetrische Signierung oder RS256 (RSA-SHA256) für asymmetrische Signierung. Wichtig: Dekodierung enthüllt den Payload, aber nur Signaturverifizierung (die den geheimen Schlüssel erfordert) bestätigt die Authentizität des Tokens.

Best Practices für JWT-Sicherheit

Speichern Sie JWTs niemals in localStorage — verwenden Sie httpOnly-Cookies zur Vermeidung von XSS-Angriffen. Setzen Sie kurze Ablaufzeiten (15-60 Minuten) und verwenden Sie Refresh-Tokens für längere Sitzungen. Validieren Sie immer die Signatur serverseitig, bevor Sie Claims vertrauen. Speichern Sie keine sensiblen Daten im Payload — JWTs sind kodiert, nicht verschlüsselt. Verwenden Sie ausschließlich HTTPS, um Token-Abfang zu verhindern. Rotieren Sie Signaturschlüssel regelmäßig.

Sources

Examples

Gelöste Beispiele

Beispiel: Abgelaufenes Token debuggen

Gegeben: Ein Benutzer meldet, dass er trotz Anmeldung nicht auf die API zugreifen kann.

Schritt 1: Kopieren Sie das JWT aus den Request-Headern des Benutzers.

Schritt 2: Fügen Sie es in den Decoder ein, um den Payload zu sehen.

Schritt 3: Prüfen Sie den 'exp'-Claim (Ablauf) — er zeigt einen Unix-Zeitstempel, der bereits vergangen ist.

Schritt 4: Das Token ist abgelaufen und der Refresh-Mechanismus hat versagt.

Ergebnis: Das Problem ist ein abgelaufenes Token. Korrigieren Sie den Refresh-Token-Flow, um Tokens automatisch vor Ablauf zu erneuern.

Beispiel: Token-Claims überprüfen

Gegeben: Eine API gibt 403 Forbidden für einen Benutzer zurück, der Admin-Zugriff haben sollte.

Schritt 1: Dekodieren Sie das JWT des Benutzers.

Schritt 2: Prüfen Sie den 'roles'-Claim im Payload — er zeigt ['user'] aber nicht ['admin'].

Schritt 3: Die Benutzerrolle wurde nach der Beförderung nicht im Identity Provider aktualisiert.

Ergebnis: Aktualisieren Sie die Rolle im Identity Provider und lassen Sie den Benutzer sich erneut authentifizieren, um ein neues Token mit Admin-Claims zu erhalten.

Use Cases

Anwendungsfälle

Authentifizierungs-Debugging

“Dekodieren Sie JWT-Tokens, um Authentifizierungsprobleme wie abgelaufene Tokens, fehlende Claims oder falsche Rollen in Webanwendungen und REST-APIs zu identifizieren und die Lösung von Zugriffsproblemen zu beschleunigen.”

API-Integration

“Inspizieren Sie Claims und Berechtigungen von Tokens, die von Identity Providern wie Auth0, Firebase oder AWS Cognito ausgestellt werden, um die korrekte OAuth-2.0-Konfiguration bei der Integration zu überprüfen.”

Sicherheitsaudit

“Überprüfen Sie JWT-Tokens, um sicherzustellen, dass sie keine sensiblen Informationen im Payload enthalten, die Signaturalgorithmen sicher sind und die Ablaufzeiten den Sicherheitsrichtlinien entsprechen.”

Häufig gestellte Fragen

?Was macht ein JWT-Decoder?

Ein JWT-Decoder extrahiert und zeigt die im JSON Web Token kodierten Header- und Payload-Daten an. Er enthüllt den Algorithmus, Tokentyp, Claims, Ablaufzeit und andere Metadaten, ohne dass ein geheimer Schlüssel benötigt wird.

?Ist es sicher, JWTs online zu dekodieren?

Ja, dieses Tool dekodiert JWTs vollständig in Ihrem Browser mittels JavaScript. Ihr Token wird niemals an einen Server gesendet, was 100 % Privatsphäre garantiert. Vermeiden Sie jedoch, dekodierte Token mit sensiblen Claims weiterzugeben.

?Verifiziert dieses Tool JWT-Signaturen?

Nein, dieses Tool dekodiert nur Header und Payload. Es verifiziert nicht die kryptografische Signatur. Für die Signaturverifizierung benötigen Sie den geheimen oder öffentlichen Schlüssel und eine serverseitige Bibliothek.

?Was sind die drei Teile eines JWT?

Ein JWT besteht aus drei Base64Url-kodierten Teilen, die durch Punkte getrennt sind: dem Header (Algorithmus und Tokentyp), dem Payload (Claims und Daten) und der Signatur (zur Verifizierung).

?Kann ich abgelaufene JWT-Token dekodieren?

Ja, der Decoder funktioniert mit jedem gültigen JWT-Format, unabhängig davon, ob das Token abgelaufen ist. Sie können den 'exp'-Claim im Payload einsehen, um den genauen Ablaufzeitpunkt zu erfahren.

?Welche JWT-Claims kann ich sehen?

Sie können alle Standard-Claims wie iss (Aussteller), sub (Betreff), aud (Zielgruppe), exp (Ablauf), iat (Ausstellungszeitpunkt) und nbf (nicht vor) einsehen, sowie alle benutzerdefinierten Claims, die vom Token-Aussteller hinzugefügt wurden.

?Wie verwende ich diesen JWT-Decoder?

Fügen Sie einfach Ihren JWT-String (im Format header.payload.signature) in das Eingabefeld ein. Das Tool dekodiert und zeigt sofort sowohl den Header- als auch den Payload-Abschnitt in einem lesbaren Format an.