T

Text Machine

Leistungsstarke Text-Tools, direkt in Ihrem Browser

JWT-Decoder

Decodieren Sie ein beliebiges JSON Web Token, um Header, Payload und Claims in lesbarer Form zu untersuchen – und verifizieren Sie optional eine HMAC-Signatur (HS256/384/512). Alles bleibt in Ihrem Browser.

Codiertes Token

So verwenden Sie JWT-Decoder

  1. 1

    Token einfügen

    Fügen Sie ein codiertes JSON Web Token in das Eingabefeld ein. Der Decoder teilt es automatisch in Header, Payload und Signatur auf.

  2. 2

    Claims lesen

    Untersuchen Sie den decodierten Header und die Payload als formatiertes JSON und prüfen Sie registrierte Claims wie Ablauf- und Ausstellungszeit, die als lesbare Datumsangaben dargestellt werden.

  3. 3

    Signatur verifizieren

    Geben Sie bei HMAC-Token das Signiergeheimnis ein, um zu bestätigen, dass die Signatur gültig ist und das Token nicht manipuliert wurde.

  4. 4

    Kopieren, was Sie brauchen

    Kopieren Sie das formatierte Header- oder Payload-JSON in die Zwischenablage, um es in Tests, in der Dokumentation oder beim Debuggen zu verwenden.

Häufig gestellte Fragen

Was ist ein JSON Web Token (JWT)?
Ein JSON Web Token ist eine kompakte, URL-sichere Möglichkeit, Claims zwischen zwei Parteien darzustellen. Es besteht aus drei Base64URL-codierten Teilen – einem Header, einer Payload und einer Signatur –, die durch Punkte getrennt sind, und wird häufig zur Authentifizierung und Autorisierung in Web-APIs verwendet.
Gibt das Decodieren eines JWT das Passwort oder Geheimnis preis?
Nein. Header und Payload sind nur Base64URL-codiert, nicht verschlüsselt, sodass jeder sie lesen kann – deshalb sollten Sie niemals sensible Geheimnisse in einem Token speichern. Das Signiergeheimnis selbst ist nie Teil des Tokens und lässt sich durch Decodieren nicht wiederherstellen.
Wie funktioniert hier die Signaturverifizierung?
Bei HMAC-Algorithmen (HS256, HS384, HS512) berechnet das Tool die Signatur aus Header, Payload und dem von Ihnen angegebenen Geheimnis mithilfe der in Ihren Browser integrierten Web-Crypto-API neu und vergleicht sie anschließend mit der Signatur des Tokens. Asymmetrische Algorithmen wie RS256 und ES256 benötigen öffentliche Schlüssel und werden decodiert, aber nicht verifiziert.
Was bedeuten die Claims exp und iat?
exp (Ablaufzeit) und iat (Ausstellungszeit) sind registrierte Claims, die als Unix-Zeitstempel in Sekunden gespeichert werden. Dieser Decoder wandelt sie in lesbare Datumsangaben um und zeigt anhand der Uhr Ihres Geräts an, ob das Token derzeit aktiv, noch nicht gültig oder abgelaufen ist.
Wird mein Token an einen Server gesendet?
Nein. Das Decodieren und die Signaturverifizierung laufen vollständig in Ihrem Browser. Ihr Token und Ihr Geheimnis werden niemals hochgeladen, protokolliert oder gespeichert – so bleiben selbst Produktiv-Token vollkommen privat.

Verwandte Tools

Machen Sie weiter mit diesen praktischen Tools

URL Encoder / Decoder

Base64 codieren / decodieren

HTML zu Text Konverter

JSON-Formatierer

Regex-Tester

CSS-Verlaufsgenerator