JWT-Decoder

Fügen Sie Ihr JSON Web Token (JWT) ein, um Header und Payload sofort zu dekodieren und anzuzeigen. Unterstützt HS256, RS256 und andere gängige Algorithmen.

Header

// Dekodierter Header wird hier angezeigt

Payload

// Dekodierte Payload wird hier angezeigt

Ein vollständiger Leitfaden zu unserem JSON Web Token (JWT)-Decoder

Willkommen bei unserem sicheren, clientseitigen JWT-Decoder. Dieses kostenlose Online-Tool ist ein unverzichtbares Hilfsmittel für jeden Entwickler, Sicherheitsexperten oder Einzelpersonen, die mit modernen Authentifizierungssystemen arbeiten. Es ermöglicht Ihnen, JWTs (JSON Web Tokens) sofort zu dekodieren und deren Inhalt in einem sauberen, für Menschen lesbaren Format zu inspizieren. Fügen Sie einfach Ihren Token in das Textfeld ein, und unser Tool analysiert den Header und die Payload und zeigt sie als formatiertes JSON an.

Das wichtigste Merkmal dieses Online-JWT-Decoders ist seine Sicherheit. Alle Dekodierungs- und Verarbeitungsschritte erfolgen zu 100 % in Ihrem Browser. Ihre Token werden niemals an unseren Server gesendet. Dieser clientseitige Ansatz stellt sicher, dass Ihre sensiblen Informationen wie Authentifizierungs-Token, API-Schlüssel oder private Benutzerdaten völlig privat bleiben. Sie können jeden JWT-Token mit vollem Vertrauen debuggen.

Was ist ein JSON Web Token (JWT)?

Ein JSON Web Token (JWT) ist ein kompakter, URL-sicherer offener Standard (definiert durch RFC 7519), der verwendet wird, um Informationen zwischen Parteien sicher als JSON-Objekt zu übertragen. Da diese Informationen digital signiert sind, können sie überprüft werden und sind vertrauenswürdig. JWTs sind zustandslos und in sich geschlossen, was bedeutet, dass alle zur Authentifizierung eines Benutzers erforderlichen Informationen im Token selbst enthalten sind. Dies macht sie zu einer äußerst beliebten Wahl für moderne Web- und Mobilanwendungen, insbesondere für die Authentifizierung und den Informationsaustausch.

Sie können ein JWT leicht an seiner dreiteiligen Struktur erkennen, wobei jeder Teil durch einen Punkt (.) getrennt ist: header.payload.signature.

Die drei Teile eines JWT erklärt

Wenn Sie unseren JWT-Decoder verwenden, sehen Sie die dekodierten Versionen der ersten beiden Teile des Tokens.

1. Der Header (Metadaten)

Der erste Teil des Tokens ist der JWT-Header. Er ist ein JSON-Objekt, das Base64Url-kodiert ist. Er besteht in der Regel aus zwei Schlüssel-Wert-Paaren:

2. Die Payload (Claims)

Der zweite Teil des Tokens ist die JWT-Payload. Dieser Teil ist ebenfalls ein Base64Url-kodiertes JSON-Objekt und enthält die „Claims“ (Ansprüche). Claims sind Aussagen über eine Entität (in der Regel den Benutzer) und zusätzliche Daten. Es gibt drei Arten von Claims:

Unser JWT-Claims-Viewer macht es einfach, all diese Claims auf einen Blick zu inspizieren.

3. Die Signatur

Der dritte Teil des Tokens ist die JWT-Signatur. Sie wird erstellt, indem der kodierte Header, die kodierte Payload und ein geheimer Schlüssel (oder ein privater Schlüssel für asymmetrische Algorithmen) genommen und durch den angegebenen Algorithmus (alg) ausgeführt werden.

Der Zweck der Signatur besteht darin, die Authentizität des Tokens zu überprüfen. Sie stellt sicher, dass der Token während der Übertragung nicht verändert wurde. Wenn ein Angreifer auch nur ein einziges Zeichen in der Payload ändert, ist die Signatur nicht mehr gültig. Deshalb führt dieses Tool keine Signaturvalidierung durch und kann dies auch nicht tun – dazu wäre der geheime Schlüssel erforderlich, der niemals geteilt oder in ein Online-Tool eingefügt werden sollte. Dieser Decoder dient dazu, die Daten (Claims) im Token zu inspizieren, nicht um seine Echtheit zu verifizieren.

So verwenden Sie dieses JWT-Decoder-Tool

  1. Kopieren Sie Ihren Token: Kopieren Sie den vollständigen JWT-String (alle drei Teile) aus Ihrer Anwendung, dem lokalen Speicher des Browsers oder der API-Antwort.
  2. Fügen Sie den Token ein: Fügen Sie den Token in das Textfeld oben auf der Seite ein. Sie können auch die Schaltfläche „Beispiel laden“ verwenden, um einen gültigen Token zu sehen.
  3. Klicken Sie auf „Token dekodieren“: Das Tool analysiert den Token sofort.
  4. Überprüfen Sie die Ergebnisse: Header und Payload werden in zwei separaten, klar formatierten JSON-Boxen unten angezeigt, sodass Sie alle Claims und Metadaten leicht lesen können.
  5. Löschen: Klicken Sie auf die Schaltfläche „Löschen“, um von vorn zu beginnen.

Gängige Debugging-Szenarien

Ein JWT-Decoder ist in erster Linie ein Debugging-Tool. Hier sind gängige Probleme, die Sie damit lösen können:

Verwandte Entwickler-Tools

Da JWTs auf anderen Webstandards aufbauen, könnten Sie diese Tools in Verbindung mit unserem Decoder nützlich finden:

Häufig gestellte Fragen (FAQ)

Was ist ein JWT-Decoder?

Ein JWT-Decoder ist ein Tool, das ein JSON Web Token in seine drei Komponenten (Header, Payload und Signatur) aufteilt und den Header sowie die Payload in einer für Menschen lesbaren, formatierten JSON-Struktur anzeigt. Es ermöglicht Ihnen, die im Token gespeicherten Daten (Claims) und Metadaten schnell zu inspizieren.

Ist dieser JWT-Decoder sicher für die Verwendung mit sensiblen Token?

Ja, er ist zu 100 % sicher. Dieses Tool läuft vollständig clientseitig in Ihrem Browser. Ihr Token, Header und Payload werden niemals über das Netzwerk gesendet, protokolliert oder auf unseren Servern gespeichert. Sie können sensible Authentifizierungs-Token ohne Datenschutzbedenken sicher dekodieren.

Validiert dieses Tool die Signatur des JWT?

Nein. Dieses Tool dekodiert lediglich den Token; es validiert die Signatur nicht. Die Validierung einer Signatur erfordert den „geheimen Schlüssel“ (für symmetrische Algorithmen wie HS256) oder den „öffentlichen Schlüssel“ (für asymmetrische Algorithmen wie RS256). Sie sollten niemals Ihre geheimen Schlüssel in ein Online-Tool einfügen. Dieser Decoder dient zur Inspektion der Daten im Token, nicht zur Überprüfung der Authentizität.

Was ist der Unterschied zwischen dem Header und der Payload?

Der Header enthält in der Regel Metadaten über den Token, wie den Tokentyp (typ, fast immer 'JWT') und den verwendeten Signaturalgorithmus (alg, z. B. 'HS256'). Die Payload enthält die eigentlichen Daten oder „Claims“, wie die Benutzer-ID (sub), den Token-Aussteller (iss), die Ablaufzeit (exp) sowie weitere benutzerdefinierte Daten.

Ist ein JWT kodiert oder verschlüsselt?

Dies ist ein häufiger Verwechslungspunkt. Ein Standard-JWT (JWS) ist kodiert (mit Base64Url) und signiert, aber nicht verschlüsselt. Das bedeutet, dass jeder, der den Token besitzt, ihn dekodieren und seinen Inhalt lesen kann (wie dieses Tool zeigt). Wenn Sie die Daten vor dem Mitlesen schützen müssen, müssen Sie einen JSON Web Encryption (JWE)-Token verwenden.

Was bedeutet der Claim 'exp' in einem JWT?

Der Claim exp (Expiration Time) ist ein registrierter Claim, der den Zeitpunkt definiert, nach dem das JWT nicht mehr zur Verarbeitung akzeptiert werden darf. Er ist ein Unix-Timestamp (Sekunden seit 1970-01-01T00:00:00Z). Ein Server, der einen Token empfängt, sollte diesen Claim immer überprüfen, um sicherzustellen, dass der Token nicht abgelaufen ist.

JWT-Decoder: Kostenloses & sicheres Online-Tool zum Dekodieren von JWTs | CoderTab