Kostenlos · Ohne Anmeldung

JWT-Decoder

Fügen Sie ein JSON Web Token ein und inspizieren Sie sofort Header, Payload und Claims — mit Ablaufzeitstempeln in lesbarem Datumsformat.

Verarbeitung im Speicher — nie gespeichert, nie protokolliert, kein Konto nötig.

Wie JWTs aufgebaut sind

Ein JSON Web Token besteht aus drei base64url-kodierten, durch Punkte getrennten Segmenten: header.payload.signature. Der Header deklariert den Signaturalgorithmus (alg) und den Tokentyp; die Payload trägt die Claims — wen das Token betrifft (sub), wer es ausgestellt hat (iss) und wann es abläuft (exp).

Base64url ist eine Kodierung, keine Verschlüsselung: Jeder, der ein JWT besitzt, kann seinen Inhalt lesen — genau das tut dieses Tool. Legen Sie niemals Geheimnisse in eine JWT-Payload. Vertrauenswürdig macht ein JWT erst die Signatur, die nur der Inhaber des Signaturschlüssels erzeugen kann.

Dieser Decoder prüft Signaturen bewusst nicht — dafür braucht es das Secret oder den öffentlichen Schlüssel, und das gehört ins Backend. Nutzen Sie ihn, um abgelehnte Tokens zu debuggen: falsche Audience, abgelaufenes exp, Uhrenversatz bei nbf oder ein unerwarteter Algorithmus.

Ihre API lehnt nachts um 3 Tokens ab? Erfahren Sie es zuerst

ContinuumNexus überwacht Ihre authentifizierten Endpunkte rund um die Uhr und alarmiert Sie, sobald sie fehlschlagen.

Häufige Fragen

Ist es sicher, hier ein JWT einzufügen?
Ihr Token wird im Speicher dekodiert und nie gespeichert, protokolliert oder geteilt. Behandeln Sie Produktions-Tokens dennoch wie Passwörter: Verwenden Sie zum Debuggen bevorzugt abgelaufene oder Test-Tokens und rotieren Sie jedes möglicherweise exponierte Secret.
Prüft dieses Tool die JWT-Signatur?
Nein — die Prüfung erfordert das Signatur-Secret (HS256) oder den öffentlichen Schlüssel des Ausstellers (RS256/ES256) und sollte serverseitig erfolgen. Dieses Tool dekodiert Header und Payload zur Inspektion von Claims und Ablauf.
Warum lehnt die API mein scheinbar gültiges Token ab?
Die üblichen Verdächtigen: Das exp-Claim liegt in der Vergangenheit, das nbf-Claim in der Zukunft (Uhrenversatz), aud oder iss passen nicht zu den Erwartungen der API, oder die API erwartet einen anderen Signaturalgorithmus als im Header angegeben.
Sind JWTs verschlüsselt?
Standard-signierte JWTs (JWS) sind nicht verschlüsselt — die Payload ist für jeden lesbar. Verschlüsselte JWTs (JWE) existieren, sind aber seltener; sie haben fünf statt drei Segmente. Dieses Tool verarbeitet das gängige signierte Format.
Was sind die Standard-JWT-Claims?
Die registrierten Claims sind iss (Aussteller), sub (Subjekt), aud (Audience), exp (Ablauf), nbf (nicht vor), iat (ausgestellt am) und jti (eindeutige ID). Alles andere sind benutzerdefinierte Claims Ihres Identity Providers oder Ihrer Anwendung.