Verifiziert das Werkzeug die Signatur?

Bei HMAC-Token (HS256, HS384, HS512) fügst du das Secret ein, und das Werkzeug prüft die Signatur direkt auf deinem Gerät. Für RS- und ES-Token (RS256/384/512, ES256/384/512) fügst du den PEM-Public-Key des Ausstellers ein, und die Prüfung läuft genauso. In beiden Fällen verlässt das Secret oder der Schlüssel dein Gerät nie.

Ist es unbedenklich, ein echtes Produktiv-Token einzufügen?

Die Decodierung passiert auf deinem Gerät, das Token geht an keinen Server. Ein Bearer-Token verschafft jedem, der es besitzt, die Rechte des Nutzers — das größere Risiko sind also Mitleser am Bildschirm, nicht das Werkzeug.

Was heißt es, wenn alg 'none' ist?

Manche älteren Bibliotheken akzeptierten unsignierte Tokens mit alg=none — ein bekanntes Angriffsmuster. Produktive APIs müssen solche Tokens ablehnen. Taucht 'none' in einem Authentifizierungs-Token auf, ist die Konfiguration kaputt.

Warum erscheinen exp und iat als Zahlen statt als Datum?

JWTs speichern Zeitstempel als Sekunden seit dem 01.01.1970 UTC. Der Decoder zeigt daneben ein lesbares lokales Datum, damit du ohne Kopfrechnen erkennst, ob das Token abgelaufen ist.

Kann ich verschlüsselte Tokens (JWE) decodieren?

JWE besteht aus fünf punktgetrennten Teilen und ist verschlüsselt, nicht nur signiert. Dieses Werkzeug liest JWS (drei Teile: header.payload.signature). Für JWE brauchst du den Entschlüsselungsschlüssel, der konstruktionsbedingt nur auf dem Empfängerserver liegen darf.

JWT-Decoder

JWT-Tokens sofort dekodieren und prüfen

JWT-Token

Algorithmus: HS256Läuft ab in 1300T 7StdAusgestellt am: 18.01.2018, 01:30:22Läuft ab am: 01.01.2030, 00:00:00

SicherheitsprüfungPrüfung empfohlen

Das Token ist mit einem echten Algorithmus signiert, nicht mit "none".
Dieses Token ist über ein Jahr gültig. Langlebige Token sind bei einem Leak riskant — besser kurze Ablaufzeiten mit Refresh.
Aussteller ("iss") ist gesetzt.
Kein "nbf"-Claim. Er ist optional, verhindert aber gesetzt die Nutzung des Tokens vor seiner Startzeit.

Header

alg

HS256

typ

JWT

Nutzlast

Standard-Claims

sub

1234567890Subjekt — der Benutzer oder die Entität, um die es im Token geht.

iat

151623902218.01.2018, 01:30:22Ausgestellt am — wann das Token erstellt wurde.

exp

189345600001.01.2030, 00:00:00Ablauf — nach diesem Zeitpunkt ist das Token ungültig.

aud

freeonlinetools.ioZielgruppe — für wen das Token bestimmt ist.

iss

auth.serviceAussteller — wer dieses Token erstellt und signiert hat.

Eigene Claims

name

John Doe

Signatur

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Signatur prüfen

Geben Sie das HMAC-Geheimnis ein, um die Signatur zu prüfen. Ihr Geheimnis bleibt auf Ihrem Gerät und wird nie irgendwohin gesendet.

Was ist JWT-Decoder?

Fügen Sie einen JSON Web Token ein, um Header, Payload und Signatur dekodiert anzuzeigen. Prüfen Sie Token-Claims, kontrollieren Sie Ablaufzeiten und debuggen Sie Authentifizierungsprobleme in Sekunden.

Der Decoder zerlegt das Token an den Punkten, entschlüsselt Header und Payload per Base64URL und parst beides als JSON. Sichtbar sind der Signatur-Algorithmus (HS256, RS256, EdDSA usw.), alle reservierten Claims (iss, sub, aud, exp, iat, nbf, jti) und alle benutzerdefinierten Claims deines Dienstes. Zeit-Claims werden vom Unix-Epoch in deine lokale Zeitzone übersetzt — abgelaufene Tokens fallen sofort auf.

Anleitung

Fügen Sie Ihr JWT-Token in das Eingabefeld ein — die drei Base64-kodierten Abschnitte werden automatisch erkannt.
Sehen Sie den dekodierten Header (Algorithmus, Typ) und Payload (Claims, Ablaufzeit, Aussteller) nebeneinander.
Kopieren Sie einzelne dekodierte Abschnitte oder die vollständige Ausgabe.

Wann verwenden

Einen 401-Fehler debuggen, indem du prüfst, ob der exp-Wert des Bearer-Tokens bereits vorbei ist.
Vor dem Produktiv-Rollout sicherstellen, dass ein Staging-Token die richtigen aud- und iss-Werte enthält.
Die user_id oder die Scopes auslesen, die ein externer SSO-Anbieter in das Access-Token gepackt hat.

Ergebnis

Sie debuggen einen 401-Fehler in Ihrer API. Fügen Sie das Bearer-Token aus dem Request-Header ein, um zu prüfen, ob der 'exp'-Claim bereits abgelaufen ist oder ob der 'aud'-Claim mit Ihrer erwarteten Zielgruppe übereinstimmt.

Häufige Fragen

Verifiziert das Werkzeug die Signatur?: Bei HMAC-Token (HS256, HS384, HS512) fügst du das Secret ein, und das Werkzeug prüft die Signatur direkt auf deinem Gerät. Für RS- und ES-Token (RS256/384/512, ES256/384/512) fügst du den PEM-Public-Key des Ausstellers ein, und die Prüfung läuft genauso. In beiden Fällen verlässt das Secret oder der Schlüssel dein Gerät nie.
Ist es unbedenklich, ein echtes Produktiv-Token einzufügen?: Die Decodierung passiert auf deinem Gerät, das Token geht an keinen Server. Ein Bearer-Token verschafft jedem, der es besitzt, die Rechte des Nutzers — das größere Risiko sind also Mitleser am Bildschirm, nicht das Werkzeug.
Was heißt es, wenn alg 'none' ist?: Manche älteren Bibliotheken akzeptierten unsignierte Tokens mit alg=none — ein bekanntes Angriffsmuster. Produktive APIs müssen solche Tokens ablehnen. Taucht 'none' in einem Authentifizierungs-Token auf, ist die Konfiguration kaputt.
Warum erscheinen exp und iat als Zahlen statt als Datum?: JWTs speichern Zeitstempel als Sekunden seit dem 01.01.1970 UTC. Der Decoder zeigt daneben ein lesbares lokales Datum, damit du ohne Kopfrechnen erkennst, ob das Token abgelaufen ist.
Kann ich verschlüsselte Tokens (JWE) decodieren?: JWE besteht aus fünf punktgetrennten Teilen und ist verschlüsselt, nicht nur signiert. Dieses Werkzeug liest JWS (drei Teile: header.payload.signature). Für JWE brauchst du den Entschlüsselungsschlüssel, der konstruktionsbedingt nur auf dem Empfängerserver liegen darf.

JWT-Decoder

Was ist JWT-Decoder?

Anleitung

Wann verwenden

Ergebnis

Häufige Fragen

Ähnliche Tools

PGP-Schlüsselgenerator

Sichere Notizen

Dateiverschlüsselung

SSL-Zertifikat-Decoder

Caesar-Verschlüsselung

Passphrasen-Generator

JWT-Decoder