Anmelden

JWT Decoder

Header und Payload eines JSON Web Tokens dekodieren (keine Signaturverifizierung)

Die Signatur wird im Rohformat angezeigt — dieses Tool verifiziert sie nicht. Um die Authentizität zu überprüfen, verwenden Sie einen Server mit dem geheimen/öffentlichen Schlüssel.

Was ist ein JWT?

Ein JSON Web Token besteht aus drei durch Punkte getrennten, Base64URL-kodierten Teilen: einem Header (welcher Algorithmus verwendet wird), einem Payload (den Ansprüchen — typischerweise Benutzer-ID, Ablauf, Berechtigungen) und einer Signatur. Der Header und das Payload sind NICHT verschlüsselt, sondern nur kodiert — jeder mit dem Token kann sie lesen. Die Signatur beweist, dass das Token nicht manipuliert wurde.

Der Decoder trennt die drei Teile, dekodiert die ersten beiden mit Base64URL und formatiert die JSON-Ausgabe. Er verifiziert die Signatur NICHT — dafür ist der geheime oder öffentliche Schlüssel des ausstellenden Servers erforderlich. Fügen Sie keine Produktionstokens in untrusted Decoder ein; dieser hier ist nur im Browser und lädt niemals hoch, aber aus Gewohnheit sollten Sie Tokens aus Ihrer eigenen Entwicklungsumgebung zum Testen verwenden.

Anwendungsfälle

  • Überprüfen eines Drittanbieter-JWT — fügen Sie einen Authorization-Header ein, um den Header und das Payload zu lesen, ohne einem Remote-Debugger zu vertrauen.
  • Debuggen von Authentifizierungsfehlern — überprüfen Sie, ob die Ansprüche exp / iat / aud mit dem übereinstimmen, was Ihr Backend erwartet, wenn in der Entwicklung ein 401 auftritt.
  • Inspektieren von OAuth / OIDC-Tokens — dekodieren Sie ein Access- oder ID-Token, das von Google, Auth0 oder Okta zurückgegeben wird, um die Benutzeransprüche zu sehen.
  • Lehren der JWT-Struktur — zeigen Sie den Schülern die drei Base64-Segmente und wie das Signieren schützt, aber das Payload nicht verschlüsselt.

Beispiele

Decoding a sample token
Input
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyXzEiLCJleHAiOjE3MDAwMDAwMDB9.signature
Output
Header:
{"alg": "HS256"}

Payload:
{"sub": "user_1", "exp": 1700000000}

Häufig gestellte Fragen

Verifiziert der Decoder die Signatur?

Nein — die Verifizierung erfordert den geheimen Schlüssel (HS256) oder den öffentlichen Schlüssel (RS256), der zur Signierung des Tokens verwendet wurde. Der Decoder zeigt Ihnen nur, was darin ist; Vertrauen kommt von der serverseitigen Verifizierung.

Sind die Inhalte von JWT verschlüsselt?

Nein, nur Base64-kodiert. Jeder mit dem Token kann die Ansprüche lesen. Verwenden Sie JWE (verschlüsselte JWTs), wenn Ansprüche vertraulich sein müssen.

Was bedeutet der `exp`-Anspruch?

Unix-Zeitstempel, zu dem das Token abläuft. Tokens, die über ihren `exp` hinaus sind, sollten vom Server abgelehnt werden. Der Decoder kennzeichnet abgelaufene Tokens für Sie.

Kann ich ein fehlerhaftes Token dekodieren?

Wenn ein Teil nicht Base64-dekodiert oder als JSON geparst werden kann, zeigt der Decoder einen Fehler an, der auf den fehlerhaften Teil hinweist.

Wird mein Token hochgeladen?

Nein. Das Dekodieren erfolgt rein in JavaScript — Ihr Token bleibt auf Ihrem Gerät.