Tool-Arbeitsbereich
JWT Decoder und JSON Web Token Parser online
JWT Header, Payload und Token-Metadaten im Browser decodieren.
JWT Decoder
JWT Decoder
Bytes →
JWT Decoder
Query-Parameter
IDN / Punycode
JWT Decoder
..
Header
Payload
Metadaten
· Läuft ab:
Signatur prüfen
Signieren (HS)
JWT Decoder
Musterbibliothek
Hervorgehobene Treffer
Treffer ()
Ersetzungsergebnis
JWT Decoder
Relativ:
Zeitzone
Aus Teilen erstellen
Differenz
JWT Decoder
JWT Decoder
JWT Decoder
Beispiele
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Dekodierte Payload
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Anleitungen & Artikel
Wie JSON Web Tokens tatsächlich funktionieren
Ein JWT verbindet Claims mit einer kryptografischen Signatur. Das Format ist kompakt, aber weder automatisch verschlüsselt noch selbständig sicher.
Artikel lesenJWT-Sicherheitsfehler und wie man sie vermeidet
Die meisten JWT-Probleme liegen in Algorithmuswahl, Claim-Prüfung, Schlüsseln, Speicherung und Widerruf, nicht im Drei-Segmente-Format selbst.
Artikel lesenJWT oder serverseitige Session: das passende Auth-Modell wählen
JWT und Sessions verteilen Zustand unterschiedlich. Die richtige Wahl hängt von Widerruf, Clients, Dienstgrenzen und Betriebsanforderungen ab.
Artikel lesenJWT Decoder
JWT Header, Payload und Token-Metadaten im Browser decodieren. DevToolGrid Online bietet einen kostenlosen JWT Decoder und JSON Web Token Parser online.
Was ist ein JWT?
Ein JWT (JSON Web Token) ist ein kompaktes, URL-sicheres Token für Authentifizierung und Autorisierung. Es besteht aus drei durch Punkte getrennten Base64URL-Teilen: einem Header (Signaturalgorithmus), einer Payload (Claims wie Benutzer-ID und Ablauf) und einer Signatur, die die ersten beiden Teile vor Manipulation schützt. Header und Payload sind nur kodiert, nicht verschlüsselt.
JWT dekodieren und verifizieren
- 1 Token in die Eingabe einfügen; Header und Payload werden sofort dekodiert.
- 2 Lesen Sie die Claims sowie den lesbaren Ablauf- (exp) und Not-before- (nbf) Status.
- 3 Zum Verifizieren das Secret für HS256/384/512 oder den öffentlichen Schlüssel für RS/ES einfügen.
- 4 Optional ein neues HS-Token aus Header, Payload und Secret signieren.
Häufige JWT-Fehler
- Secrets in der PayloadDie Payload ist nur Base64-kodiert und für jeden lesbar. Speichern Sie nie Passwörter oder sensible Daten darin.
- Signatur nicht verifizierenEin dekodiertes Token ist kein Echtheitsnachweis. Verifizieren Sie die Signatur immer serverseitig.
- Ablauf ignorierenEin Token nach Ablauf der exp-Zeit muss abgelehnt werden, selbst bei gültiger Signatur.
Dekodieren vs. Verifizieren eines JWT
Dekodieren liest nur Header und Payload — das kann jeder, da diese Teile nicht verschlüsselt sind. Verifizieren prüft die Signatur gegen ein Secret oder einen öffentlichen Schlüssel, um zu bestätigen, dass das Token von einer vertrauenswürdigen Stelle stammt und nicht verändert wurde. Dieses Tool dekodiert jedes Token und verifiziert HS-, RS-, ES- und PS-Signaturen im Browser.
FAQ
Ist dieses Tool kostenlos?
Ja. Der JWT-Decoder und -Verifier sind völlig kostenlos, ohne Registrierung.
Wird mein Token an einen Server gesendet?
Nein. Dekodieren, Verifizieren und Signieren laufen lokal im Browser, Tokens verlassen das Gerät nie.
Wird die Signatur wirklich geprüft?
Ja. Geben Sie Secret oder öffentlichen Schlüssel an, und das Tool prüft die Signatur mit der Web Crypto API.
Ist es sicher, ein Produktions-Token einzufügen?
Da alles lokal läuft, wird das Token nicht übertragen. Behandeln Sie Live-Tokens dennoch vorsichtig und bevorzugen Sie Test-Tokens.