JWT-Decoder – Entschlüsselung von JSON-Webtoken und Prüfablauf online

Fügen Sie das codierte JWT ein (das lange eyJ... String) in die Eingabebox. Das Tool teilt sie auf die beiden Punkte auf, Base64URL decodiert Header und Payload und zeigt für jeden das JSON plus das rohe Signatursegment an – und das alles, ohne eine Netzwerkanforderung zu stellen.

Nein. Der Decoder analysiert nur das Token – er prüft die Signatur nicht mit einem geheimen oder öffentlichen Schlüssel, da die Verifikation das Schlüsselmaterial des Herausgebers erfordert. Verwenden Sie eine serverseitige JWT-Bibliothek zur Produktionsverifikation; Dieses Tool dient zur Inspektion und zum Debugging.

Du bekommst den Header (Algorithmus und Schlüssel-ID), die Payload-Claims (Sub, ISS, AUD, IAT, XP und alle benutzerdefinierten Claims) und die Rohsignatur. Standard-Zeitstempel-Ansprüche sind als menschenlesbare Daten formatiert, sodass man veraltete Tokens auf einen Blick erkennen kann.

Wenn die Nutzlast den Standard-"exp"-Anspruch enthält, vergleicht das Tool ihn mit der aktuellen Zeit und zeigt entweder "Gültig bis" oder "Token abgelaufen mit" mit dem genauen Zeitstempel an. Token ohne Erfahrungsanspruch werden als ohne Ablaufdatum gemeldet.

Jeder, der die Nutzlast eines JWT liest, kann ihn bis zum Ablauf nutzen, daher gehören Produktionstoken in private Werkzeuge. Dieser Decoder läuft vollständig in Ihrem Browser und überträgt das Token nie, aber die sicherere Regel ist, wann immer möglich kurzlebige Entwicklungstoken zu dekodieren.

Ein JWT verfügt über drei Base64URL-codierte Segmente, die durch Punkte getrennt sind: Header (Signing-Algorithmus), Payload (die Behauptungen, denen der Emittent den Prüfer vertrauen soll) und Signatur (eine MAC- oder digitale Signatur über header.payload). Dekodierung benötigt nie einen Schlüssel – nur die Verifikation schon.