Stimmt etwas mit diesem Tool nicht?
Über „JWT Dekodieren Online“
Dieses Tool zerlegt einen JSON Web Token (JWT) in seine drei Teile: Header, Payload und Signatur. Token aus dem Auth-Flow, dem Authorization-Header oder einem Cookie einfügen — Sie sehen die JSON-Inhalte von Header und Payload sowie die rohen Signaturbytes.
JWTs sind Standard für Authentifizierung, Sessions und API-Autorisierung. Decoding (nicht Verifizieren) zeigt, was im Token steht — User-ID, Ablauf, Scopes, Custom-Claims — hilfreich zum Debuggen.
Wichtig: Das Tool decodiert, aber verifiziert nicht. Es zeigt nur, was der Aussteller behauptet, nicht ob es echt ist. Sicherheitsprüfungen müssen serverseitig mit dem öffentlichen Schlüssel des Ausstellers erfolgen.
So nutzt du dieses Tool
Header und Payload eines JSON Web Tokens inspizieren
JWT einfügen
Token ins Feld «Token». JWTs sehen aus wie `xxx.yyy.zzz` — drei base64url-Segmente getrennt durch Punkte. Das Tool splittet an Punkten und dekodiert die ersten zwei.
Ausführen
Ergebnis: `header` (Algorithmus und Typ, z. B. `{ "alg": "HS256", "typ": "JWT" }`) und `payload` (Ihre Claims — `sub`, `exp`, `iat` plus app-spezifische). Das dritte Segment (Signature) wird NICHT geprüft oder angezeigt.
Was das nicht ist
Decoden ≠ Verifizieren. Jeder mit dem Token kann das Payload lesen; Authentizität beweist nur die Signatur (Secret/Public Key nötig). Unverifizierten Tokens nicht trauen — Verifikation per jwt-encoder oder Auth-Library serverseitig.
Wichtige Claims
`exp` ist ein Unix-Timestamp — abgelaufene Tokens nicht akzeptieren, auch wenn Signatur okay. `iss` muss zum erwarteten Aussteller passen, `aud` zu Ihrem Service. Wenn Payload gut aussieht, Auth aber scheitert, ist die Signatur das Problem, nicht die Claims.