Ein JSON Web Token besteht aus drei base64url-kodierten, durch Punkte getrennten Segmenten: header.payload.signature. Der Header deklariert den Signaturalgorithmus (alg) und den Tokentyp; die Payload trägt die Claims — wen das Token betrifft (sub), wer es ausgestellt hat (iss) und wann es abläuft (exp).
Base64url ist eine Kodierung, keine Verschlüsselung: Jeder, der ein JWT besitzt, kann seinen Inhalt lesen — genau das tut dieses Tool. Legen Sie niemals Geheimnisse in eine JWT-Payload. Vertrauenswürdig macht ein JWT erst die Signatur, die nur der Inhaber des Signaturschlüssels erzeugen kann.
Dieser Decoder prüft Signaturen bewusst nicht — dafür braucht es das Secret oder den öffentlichen Schlüssel, und das gehört ins Backend. Nutzen Sie ihn, um abgelehnte Tokens zu debuggen: falsche Audience, abgelaufenes exp, Uhrenversatz bei nbf oder ein unerwarteter Algorithmus.