JWT-Decoder – JSON Web Tokens online dekodieren und Ablauf prüfen

Füge das codierte JWT (die lange eyJ…-Zeichenfolge) in das Eingabefeld ein. Das Tool trennt es an den beiden Punkten, decodiert Header und Payload per Base64URL und zeigt das JSON für beide sowie das rohe Signatursegment an – und das ganz ohne Netzwerkanfrage.

Nein. Der Decoder parst lediglich das Token – er prüft die Signatur nicht gegen einen geheimen oder öffentlichen Schlüssel, da die Verifizierung das Schlüsselmaterial des Ausstellers erfordert. Verwenden Sie für die Verifizierung im Produktivbetrieb eine serverseitige JWT-Bibliothek; dieses Tool dient der Inspektion und dem Debugging.

Du erhältst den Header (Algorithmus und Key-ID), die Payload-Claims (sub, iss, aud, iat, exp sowie alle benutzerdefinierten Claims) und die rohe Signatur. Standard-Zeitstempel-Claims werden als gut lesbare Datumsangaben formatiert, sodass du veraltete Tokens auf einen Blick erkennst.

Enthält die Payload den standardmäßigen „exp"-Claim, vergleicht das Tool ihn mit der aktuellen Zeit und zeigt entweder „Gültig bis" oder „Token abgelaufen am" mit dem genauen Zeitstempel an. Tokens ohne exp-Claim werden als ohne Ablaufdatum ausgewiesen.

Wer die Payload eines JWT lesen kann, kann es bis zum Ablauf verwenden – Produktiv-Tokens gehören daher in private Tools. Dieser Decoder läuft vollständig in deinem Browser und überträgt das Token niemals; die sicherere Regel ist jedoch, nach Möglichkeit nur kurzlebige Entwicklungs-Tokens zu decodieren.

Ein JWT besteht aus drei Base64URL-kodierten, durch Punkte getrennten Segmenten: Header (Signaturalgorithmus), Payload (die Claims, denen der Aussteller den Prüfer vertrauen lassen will) und Signatur (ein MAC oder eine digitale Signatur über header.payload). Zum Dekodieren wird nie ein Schlüssel benötigt – nur zur Verifizierung.