JWT-Decoder – JSON Web Tokens online dekodieren und Ablauf prüfen

Füge ein beliebiges JSON Web Token ein, um Header und Payload sofort zu decodieren, die Signatur anzuzeigen und zu prüfen, ob es abgelaufen ist. Läuft lokal – deine Tokens verlassen deinen Browser nie.

Kodiertes JWT

Decode and verify entirely in your browser — nothing is uploaded.

Dateien werden nach der Verarbeitung automatisch gelöschtSicher über HTTPS verarbeitet

Frequently Asked Questions

Füge das codierte JWT (die lange eyJ…-Zeichenfolge) in das Eingabefeld ein. Das Tool trennt es an den beiden Punkten, decodiert Header und Payload per Base64URL und zeigt das JSON für beide sowie das rohe Signatursegment an – und das ganz ohne Netzwerkanfrage.

usage

Nein. Der Decoder parst lediglich das Token – er prüft die Signatur nicht gegen einen geheimen oder öffentlichen Schlüssel, da die Verifizierung das Schlüsselmaterial des Ausstellers erfordert. Verwenden Sie für die Verifizierung im Produktivbetrieb eine serverseitige JWT-Bibliothek; dieses Tool dient der Inspektion und dem Debugging.

technical

Du erhältst den Header (Algorithmus und Key-ID), die Payload-Claims (sub, iss, aud, iat, exp sowie alle benutzerdefinierten Claims) und die rohe Signatur. Standard-Zeitstempel-Claims werden als gut lesbare Datumsangaben formatiert, sodass du veraltete Tokens auf einen Blick erkennst.

features

Enthält die Payload den standardmäßigen „exp"-Claim, vergleicht das Tool ihn mit der aktuellen Zeit und zeigt entweder „Gültig bis" oder „Token abgelaufen am" mit dem genauen Zeitstempel an. Tokens ohne exp-Claim werden als ohne Ablaufdatum ausgewiesen.

features

Wer die Payload eines JWT lesen kann, kann es bis zum Ablauf verwenden – Produktiv-Tokens gehören daher in private Tools. Dieser Decoder läuft vollständig in deinem Browser und überträgt das Token niemals; die sicherere Regel ist jedoch, nach Möglichkeit nur kurzlebige Entwicklungs-Tokens zu decodieren.

privacy

Ein JWT besteht aus drei Base64URL-kodierten, durch Punkte getrennten Segmenten: Header (Signaturalgorithmus), Payload (die Claims, denen der Aussteller den Prüfer vertrauen lassen will) und Signatur (ein MAC oder eine digitale Signatur über header.payload). Zum Dekodieren wird nie ein Schlüssel benötigt – nur zur Verifizierung.

technical

Ein kompaktes, URL-sicheres Token aus drei Base64URL-Segmenten – Header, Payload und Signatur –, das signierte Angaben wie eine Benutzer-ID und eine Ablaufzeit enthält. Es wird häufig für zustandslose Login-Sitzungen und zur Absicherung von API-Anfragen verwendet. Fügen Sie oben eines ein, um Header und Payload zu untersuchen.

technical

Fügen Sie unter dem decodierten Header und der Payload das Signaturgeheimnis (für HS256) oder den öffentlichen Schlüssel des Ausstellers im PEM- oder JWK-Format (für RS256, ES256 und ähnliche) in das Feld „Signatur verifizieren“ ein und klicken Sie dann auf „Verifizieren“. Das eingeblendete Abzeichen meldet, ob die Signatur gültig oder ungültig ist oder einen Algorithmus verwendet, den der browserseitige Prüfer nicht unterstützt — alles lokal berechnet, ohne Token oder Schlüssel irgendwohin zu senden.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Klicke auf Try sample JWT, um ein Demo-HS256-Token mit den Claims sub, name, iat und exp zu laden, damit du siehst, wie Dekodierung und Ablaufprüfung funktionieren, bevor du dein eigenes Token einfügst. Sobald ein Token im Feld steht, erscheint daneben eine Clear-Schaltfläche, die die Eingabe mit einem Klick wieder leert.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth- und OpenID-Connect-Flows debuggen

Decodiere Access-Tokens und ID-Tokens von Auth0, Okta, Cognito und Azure AD, um bei der lokalen OAuth-Integration Scopes, Audiences und Issuer zu überprüfen

For Developers

Authorization-Header in API-Aufrufen prüfen

Füge das Bearer-Token einer fehlschlagenden API-Anfrage ein, um zu prüfen, ob ein falscher Mandant, eine falsche Rolle oder ein falsches Ablaufdatum schuld ist, bevor du ein Ticket beim Backend-Team eröffnest

For Developers

Token-Ablauf während der Entwicklung prüfen

Erkenne abgelaufene Tokens, die deine Staging-Umgebung unbemerkt lahmlegen, indem du den exp-Claim ausliest – ganz ohne das Token in ein Terminal zu kopieren oder schnell ein Skript zu schreiben

For Business

In Token-Claims kodierte Berechtigungen prüfen

Überprüfe benutzerdefinierte Claims wie Rollen, Mandanten und Feature-Flags, damit Administratoren bestätigen können, dass das Token eines Kunden genau den vom Lizenzteam vorgesehenen Zugriff gewährt

For Business

Single-Sign-On-Integrationen prüfen

Prüfen Sie SAML- und OIDC-Tokens aus Enterprise-SSO-Integrationen, um Gruppenmitgliedschaften und Attributzuordnungen zu bestätigen, bevor Sie sie für alle Mitarbeitenden ausrollen

Education

Token-basierte Authentifizierung vermitteln

Nutzen Sie die dekodierten Bereiche für Header, Payload und Signatur, um Bootcamp-Teilnehmern, Junior-Entwicklern und Besuchern von Security-Workshops zu erklären, wie JWTs aufgebaut sind

For Developers

Die Webhook-Signatureinrichtung eines Partners überprüfen

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.