Alle Tools Spiele Blog Uber uns Kontakt Werbung
Entwickler

JWT-Dekodierer

Decode and analyze JWT tokens

JWT-Dekodierer
Decode and analyze JWT tokens
Warnung: Dieses Tool dekodiert JWT nur und überprüft die Signatur nicht. Teilen Sie keine echten JWT-Tokens in Online-Tools.
JWT-Token
JWT-Token einfügen, um Inhalt anzuzeigen
مساحة إعلانية
Über das Tool

Kostenloses Online JWT-Decoder-Tool — JSON Web Tokens decodieren, analysieren und verifizieren

Willkommen beim JWT-Decoder von Get-Tools, einem kostenlosen und leistungsstarken browserbasierten Tool zum sofortigen Decodieren, Analysieren und Verifizieren von JSON Web Tokens. Ob Sie ein Backend-Entwickler sind, der Authentifizierungsablaufe debuggt, ein Sicherheitsingenieur, der Zugriffskontrollen pruft, oder ein Student, der moderne Web-Authentifizierung erlernt — dieses Tool bietet Ihnen alles, was Sie brauchen, um den Inhalt eines JWT zu verstehen, ohne Software oder Browser-Erweiterungen installieren zu mussen. Alle Operationen laufen vollstandig in Ihrem Browser ab, sodass Ihre Tokens Ihr Gerat niemals verlassen — ein entscheidender Datenschutzvorteil gegenuber serverbasierten Alternativen.

Was ist ein JSON Web Token?

JSON Web Token (JWT, ausgesprochen "dschott") ist ein offener Standard, der in der Spezifikation RFC 7519 definiert ist, um Informationen zwischen zwei Parteien sicher als kompaktes, URL-sicheres JSON-Objekt zu ubertragen. JWTs werden haufig in OAuth 2.0, OpenID Connect, Single-Sign-On-Systemen (SSO), Microservice-Architekturen und mobilen Anwendungen eingesetzt, die mit REST-APIs kommunizieren. Ein JWT besteht aus drei Base64url-codierten Teilen, die durch Punkte getrennt sind: einem Header, einer Payload und einer Signatur.

JWT-Struktur — Die drei Teile

1. Header (Kopfzeile)

Der Header ist ein kleines JSON-Objekt, das den Tokentyp (ublicherweise "JWT") und den verwendeten Signaturalgorithmus (z. B. HS256, RS256 oder ES256) angibt. Die Wahl des Algorithmus bestimmt unmittelbar, wie die Signatur erstellt und verifiziert wird. Symmetrische Algorithmen wie HMAC verwenden einen einzelnen gemeinsamen geheimen Schlussel, wahrend asymmetrische Algorithmen wie RSA und ECDSA ein offentlich-privates Schlusselpaar verwenden, das besser fur verteilte Systeme geeignet ist.

2. Payload (Nutzlast)

Die Payload enthalt die Claims — Informationen uber den Benutzer, die ausstellende Stelle und das Token selbst. Es gibt drei Kategorien: registrierte Claims, die durch die JWT-Spezifikation definiert sind (wie sub fur Subject, iss fur Issuer, aud fur Audience, exp fur Ablaufzeit, iat fur Ausstellungszeit und nbf fur "nicht vor"), offentliche Claims im IANA-Register und private Claims, die zwischen den Parteien vereinbart werden. Zeitbasierte Claims sind besonders wichtig, da sie steuern, wann ein Token gultig wird und wann es ablauft.

3. Signatur

Die Signatur wird erzeugt, indem der im Header angegebene Algorithmus auf den codierten Header und die Payload angewendet wird, kombiniert mit einem geheimen oder privaten Schlussel. Wenn der Empfanger das Token erhalt, kann er die Signatur mit dem entsprechenden Schlussel neu berechnen und mit der im Token vergleichen. Stimmen sie uberein, ist das Token authentisch und wurde nicht verandert.

So funktioniert der Get-Tools JWT-Decoder

Wenn Sie ein JWT in das Eingabefeld einfugen, teilt das Tool es sofort in seine drei Teile auf und ordnet jedem eine Farbe zu: Bernstein fur den Header, Grun fur die Payload und Violett fur die Signatur. Anschliessend wird der Base64url-Code decodiert und der JSON-Inhalt in einem strukturierten, gut lesbaren Format angezeigt. Zeitbasierte Claims wie exp, iat und nbf werden automatisch erkannt und in lesbare Daten umgewandelt, mit einem Live-Badge, das anzeigt, ob das Token noch gultig oder bereits abgelaufen ist.

Hauptfunktionen

  • Echtzeit-Decodierung: Ergebnisse erscheinen wahrend Sie tippen, ohne dass ein Klick notig ist
  • Farbcodierte Token-Teile: Header, Payload und Signatur sind visuell unterscheidbar
  • Zeitliche Claim-Analyse: automatische Erkennung von exp, iat und nbf mit Gultigkeits-Badges
  • Signaturverifizierung: Unterstutzung fur HMAC, RSA, RSA-PSS und ECDSA
  • Ein-Klick-Kopieren: dedizierte Schaltflachen zum Kopieren von Header und Payload als JSON
  • Beispiel-Token: ein integriertes JWT mit geheimem Schlussel zum schnellen Testen
  • Vollstandiger Datenschutz: die gesamte Verarbeitung erfolgt in Ihrem Browser — keine Daten werden an einen Server gesendet

Unterstutzte Algorithmen

Das Tool unterstutzt die gangigsten JWT-Signaturalgorithmen uber die Web Crypto API: HMAC mit SHA-256, SHA-384 und SHA-512 fur symmetrische Signierung; RSASSA-PKCS1-v1_5 und RSA-PSS fur RSA-basierte asymmetrische Signierung; und ECDSA mit den Kurven P-256, P-384 und P-521 fur Signierung auf Basis elliptischer Kurven.

Sicherheitshinweise

Beachten Sie, dass JWT Base64-codiert und nicht verschlusselt ist — jeder, der Zugriff auf das Token hat, kann dessen Payload lesen. Fugen Sie niemals Passworter, Kreditkartennummern oder andere sensible Daten in die JWT-Payload ein. Ubertragen Sie Tokens immer uber HTTPS, setzen Sie kurze Ablaufzeiten fur sensible Tokens, rotieren Sie die Signaturschlussel regelmasssig und bevorzugen Sie asymmetrische Algorithmen wie RS256 oder ES256 in Produktionsumgebungen.

Verwandte Tools
Markdown Editor Markdown live schreiben und mit HTML-Export vorschauen
Base64-Kodierer Base64 kodieren und dekodieren
HTTP-Anfrage HTTP-Anfragen senden und APIs direkt im Browser testen
Regex-Tester Reguläre Ausdrücke testen
SQLite-Editor SQLite-Datenbanken direkt im Browser öffnen und bearbeiten
JSON-Formatierer Formatieren und validieren
UUID-Generator Eindeutige IDs für Entwickler
Text-Vergleicher Zwei Texte vergleichen
CSS-Minifier Minify CSS files to speed up website loading
HTML-Formatierer Format and beautify HTML code with validation
Farbkonverter Convert colors between HEX, RGB, HSL and CMYK
Cron-Parser Parse Cron expressions and view execution schedule
Website-Sicherheitsscanner Scannen Sie Ihre Website und entdecken Sie Sicherheitslucken
مساحة إعلانية