JWT-Decoder
JWT einfügen, um Header, Payload und Claims zu inspizieren. Dekodierung erfolgt komplett im Browser — dein Token wird nie gesendet.
Lokal im Browser dekodiert. Nichts wird irgendwohin gesendet.
Header
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}Signature
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Signatur-Prüfung benötigt das Secret oder den Public Key. Dieses Tool verifiziert nicht — es dekodiert nur.
Was ist ein JWT?
Ein JSON Web Token (JWT) ist ein kompakter, URL-sicherer Weg, Claims zwischen zwei Parteien zu übertragen. Er hat drei Teile — Header, Payload und Signatur — getrennt durch Punkte. Header und Payload sind base64url-kodiertes JSON. Die Signatur wird mit dem im Header angegebenen Algorithmus und einem Secret oder Private Key berechnet, sodass der Empfänger prüfen kann, dass der Token nicht manipuliert wurde. JWTs werden häufig für Authentifizierung und Informationsaustausch in REST-APIs verwendet.
Häufige JWT-Claims
issIssuer (Aussteller)Wer den Token ausgestellt hat — meist eine URL des Auth-Servers.
subSubject (Subjekt)Worum es im Token geht — meist die User-ID.
audAudience (Zielgruppe)Für wen der Token gedacht ist — die API oder der Service, der ihn akzeptieren soll.
expExpiration (Ablaufzeit)Unix-Timestamp, nach dem der Token nicht mehr akzeptiert werden darf.
nbfNot Before (nicht vor)Unix-Timestamp, vor dem der Token nicht akzeptiert werden darf.
iatIssued At (ausgestellt am)Unix-Timestamp der Token-Ausstellung.
jtiJWT IDEindeutige Token-ID — nützlich gegen Replay-Angriffe.
JWT-Decoder FAQ
Ist es sicher, mein JWT hier einzufügen?
Ja. Dekodierung läuft komplett im Browser via JavaScript — der Token wird nie gesendet. Kontrollierbar via DevTools → Network. Dennoch: keine produktionskritischen Tokens in Online-Decoder einfügen.
Kann das Tool die Signatur verifizieren?
Nein. Signatur-Verifikation braucht Secret oder Public Key — die sollten nie in ein Online-Tool. Verifiziere im eigenen Backend mit dem Public Key des Issuers (asymmetrisch) oder dem Shared Secret.
Welche Algorithmen unterstützt das Tool?
Alle. Das Tool dekodiert nur die base64url-JSON-Teile, funktioniert also mit jedem Signatur-Algorithmus (HS256, RS256, ES256, EdDSA etc.). Der Algorithmus steht im Header — Feld `alg`.
Warum ist mein Token kürzer als andere?
JWT-Länge hängt von Payload-Inhalt (mehr Claims = länger) und Signatur-Algorithmus ab (RSA-Signaturen länger als HMAC). Ein kompakter HS256-Token mit wenigen Claims kann unter 200 Zeichen liegen. Tokens mit vielen Claims oder RSA-Signaturen sind oft 500+.
Was ist der Unterschied zwischen JWT und JWS/JWE?
JWS (JSON Web Signature) ist signiert aber nicht verschlüsselt — jeder kann den Payload lesen. JWE (JSON Web Encryption) verschlüsselt den Payload. Die meisten "JWTs" in freier Wildbahn sind tatsächlich JWS — signiert aber sichtbar. Dieses Tool dekodiert JWS. Verschlüsselte JWEs können ohne Entschlüsselungsschlüssel nicht gelesen werden.