JWT-Decoder
Füge ein JSON Web Token ein, um Header und Payload zu sehen. Der Decoder läuft komplett im Browser — das Token verlässt dein Gerät nicht.
Hilfreich beim Debuggen von APIs, beim Prüfen von OAuth- oder OpenID-Tokens und beim Anschauen der Claims eines Access-Tokens.
Header
Decoded header will appear here.
Payload
Decoded payload will appear here.
Claims-Übersicht
Nur Dekodierung — keine Signaturprüfung
Dieses Tool dekodiert nur Header und Payload des Tokens. Es prüft die Signatur nicht, weil die Prüfung das Secret oder den Public Key erfordert und im Browser nicht sinnvoll ist — alles, was du hier einfügst, ist dem Nutzer ohnehin zugänglich. Behandle das Ergebnis als rein informativ.
Was ist ein JWT?
Ein JSON Web Token (RFC 7519) ist ein kompakter String aus drei Base64url-kodierten Abschnitten, durch Punkte getrennt: header.payload.signature. Der Header beschreibt den Signaturalgorithmus, der Payload trägt die Claims, und die Signatur erlaubt dem Server zu beweisen, dass das Token nicht manipuliert wurde.
Beispiele
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
FAQ
Verifiziert dieses Tool die Signatur?
Nein. Es dekodiert nur Header und Payload. Die Signaturprüfung erfordert das Secret oder den Public Key und muss auf einem vertrauenswürdigen Server stattfinden, nicht im Browser.
Wird mein Token an einen Server gesendet?
Nein. Der Decoder läuft komplett im Browser. Das Token wird lokal geparst und verlässt dein Gerät nie.
Was bedeuten exp, iat und nbf?
Es sind registrierte Standard-Claims: iat ist der Ausstellungszeitpunkt, nbf der „nicht vor”-Zeitpunkt und exp der Ablaufzeitpunkt. Alle drei sind Unix-Timestamps in Sekunden.
Warum unterscheiden sich meine Base64-Zeichen vom üblichen Base64?
JWT nutzt Base64url, das + durch -, / durch _ ersetzt und das =-Padding weglässt. Der Decoder behandelt das automatisch.