JWT-Decoder
JSON Web Tokens dekodieren und untersuchen.
Base64url encoded
Signature verification requires the secret key or public key, which is not available client-side. This tool only decodes — it does not verify signatures.
JWT-Decoder
Zerlegt JSON Web Tokens in ihre drei Bestandteile — Header, Payload und Signatur — damit Sie Claims und Metadaten ohne einen Backend-Dienst prüfen können. Das Tool übernimmt die Base64url-Dekodierung, formatiert das JSON übersichtlich und zeigt gut lesbare Zeitstempel für Standard-Zeitangaben (iat, exp, nbf) an.
Wofür wird es verwendet?
- API-Debugging: Access-Tokens aus OAuth-2.0-/OpenID-Connect-Flows prüfen, um Claims, Scopes und Ablaufzeiten zu verifizieren
- Authentifizierungs-Fehlersuche: prüfen, ob ein Token abgelaufen ist, vom richtigen Anbieter (iss) ausgestellt wurde oder an die richtige Zielgruppe (aud) gerichtet ist
- JWT-Struktur erlernen: mit einer visuellen Aufschlüsselung jedes Teils verstehen, wie JWTs aufgebaut sind
- CI/CD & DevOps: in Pipelines generierte Tokens vor dem Deployment in die Produktion überprüfen
Schritt-für-Schritt-Anleitung
- Fügen Sie Ihr JWT-Token in das Eingabefeld ein (das Bearer-Präfix wird automatisch entfernt)
- Header, Payload und Signatur werden sofort dekodiert
- Überprüfen Sie die geparsten Claims im Payload-Bereich
- Prüfen Sie den Ablaufstatus, der mit einem Badge und einer relativen Zeitangabe angezeigt wird
- Kopieren Sie einzelne Abschnitte oder die gesamte dekodierte Ausgabe
Wie es funktioniert
Ein JWT besteht aus drei Base64url-kodierten Segmenten, die durch Punkte getrennt sind. Dieses Tool teilt das Token auf, dekodiert jedes Segment mit dem Standard-Base64url-Alphabet und parst das resultierende JSON. Die gesamte Verarbeitung findet vollständig in Ihrem Browser statt — es werden keine Daten an einen Server gesendet. Das Tool entfernt automatisch Bearer-Präfixe und zeigt den Ablaufstatus in Echtzeit an. Hinweis: Dieses Tool dekodiert Tokens, verifiziert aber keine Signaturen. Die Signaturverifizierung erfordert den geheimen oder öffentlichen Schlüssel, der niemals in ein Web-Tool eingegeben werden sollte.
Tipps & Best Practices
- Sie können den vollständigen Authorization-Header-Wert einfügen — das Bearer-Präfix wird automatisch entfernt
- Zeitangaben-Claims (iat, exp, nbf) werden sowohl als UNIX-Zeitstempel als auch als lesbare Datumsangaben angezeigt
- Verwenden Sie dieses Tool zusammen mit dem Datum-zu-Zeitstempel-Konverter, um Test-JWT-Claim-Werte zu erstellen
- Fügen Sie niemals produktive geheime Schlüssel in ein Web-Tool ein — fügen Sie nur das Token selbst ein
Häufig gestellte Fragen
Ist es sicher, mein JWT hier einzufügen?
Ja. Alles läuft zu 100 % clientseitig in Ihrem Browser. Es werden keine Tokens an einen Server gesendet, gespeichert oder protokolliert. Sie können dies überprüfen, indem Sie den Netzwerk-Tab in den Entwicklertools Ihres Browsers prüfen.
Was ist der Unterschied zwischen Dekodieren und Verifizieren eines JWT?
Beim Dekodieren werden Header und Payload lediglich durch Base64url-Dekodierung gelesen — das kann jeder tun. Beim Verifizieren wird die Signatur gegen ein Geheimnis (HMAC) oder einen öffentlichen Schlüssel (RSA/EC) geprüft, um zu bestätigen, dass das Token nicht manipuliert wurde. Dieses Tool dekodiert nur.
Was sind die Standard-JWT-Claims?
Die in RFC 7519 definierten registrierten Claims sind: iss (Aussteller), sub (Betreff), aud (Zielgruppe), exp (Ablaufzeit), nbf (nicht vor), iat (ausgestellt am) und jti (JWT-ID). Anwendungen können beliebige benutzerdefinierte Claims hinzufügen.
Kann ich abgelaufene Tokens dekodieren?
Ja. Abgelaufene Tokens werden normal dekodiert — das Tool zeigt ein Abgelaufen-Badge und gibt an, wann das Token abgelaufen ist, mit einer relativen Zeitangabe.
Datenschutz & Sicherheit
Dieses Tool verwendet FFmpeg, das zu WebAssembly (WASM) kompiliert wurde. Die WASM-Binärdatei (~25MB) wird beim ersten Gebrauch von einem CDN heruntergeladen und von Ihrem Browser zwischengespeichert. Die gesamte Dateiverarbeitung findet lokal auf Ihrem Gerät statt – Ihre Dateien werden niemals auf einen Server hochgeladen. Dadurch ist es sicher für sensible, private oder vertrauliche Mediendateien. Große Dateien können je nach CPU und verfügbarem Arbeitsspeicher Ihres Geräts länger zur Verarbeitung benötigen.