JWT-Decoder – JSON Web Tokens online dekodieren und Ablauf prüfen
Füge ein beliebiges JSON Web Token ein, um Header und Payload sofort zu decodieren, die Signatur anzuzeigen und zu prüfen, ob es abgelaufen ist. Läuft lokal – deine Tokens verlassen deinen Browser nie.
Decode and verify entirely in your browser — nothing is uploaded.
Fertig mit JWT-Decoder? Probiere als Nächstes diese aus
Handverlesene Tools, die perfekt zum JWT-Decoder passen. Mach weiter, ohne deine Datei zu verlieren.
Base64-Encoder / -Decoder
Kodieren Sie beliebigen Text oder beliebige Dateien zu Base64 (mit URL-sicherer Variante) oder dekodieren Sie Base64 zurück in Text. UTF-8-sicher.
Jetzt ausprobierenHash-Generator
Berechne SHA-1-, SHA-256-, SHA-384- und SHA-512-Hex-Digests von beliebigem Text oder beliebigen Dateien mit der Web Crypto API des Browsers.
Jetzt ausprobierenJSON verschönern
Formatiere, validiere und minifiziere JSON direkt im Browser. Übersichtliche Einrückung mit 2 / 4 / 8 Leerzeichen oder einzeilige Minifizierung mit Kopier- und Download-Funktion.
Jetzt ausprobierenURL-Encoder / -Decoder
URL-Komponenten oder ganze URLs prozentkodieren und wieder dekodieren. Modi encodeURIComponent und encodeURI.
Jetzt ausprobierenPasswort-Generator
Erzeuge starke, kryptografisch zufällige Passwörter mit bis zu 128 Zeichen und Live-Entropieschätzung.
Jetzt ausprobierenDiff Checker
Vergleiche zwei Textausschnitte Zeile für Zeile. Geteilte oder vereinheitlichte Ansicht, optional Leerzeichen und Groß-/Kleinschreibung ignorieren.
Jetzt ausprobierenFrequently Asked Questions
Füge das codierte JWT (die lange eyJ…-Zeichenfolge) in das Eingabefeld ein. Das Tool trennt es an den beiden Punkten, decodiert Header und Payload per Base64URL und zeigt das JSON für beide sowie das rohe Signatursegment an – und das ganz ohne Netzwerkanfrage.
usageNein. Der Decoder parst lediglich das Token – er prüft die Signatur nicht gegen einen geheimen oder öffentlichen Schlüssel, da die Verifizierung das Schlüsselmaterial des Ausstellers erfordert. Verwenden Sie für die Verifizierung im Produktivbetrieb eine serverseitige JWT-Bibliothek; dieses Tool dient der Inspektion und dem Debugging.
technicalDu erhältst den Header (Algorithmus und Key-ID), die Payload-Claims (sub, iss, aud, iat, exp sowie alle benutzerdefinierten Claims) und die rohe Signatur. Standard-Zeitstempel-Claims werden als gut lesbare Datumsangaben formatiert, sodass du veraltete Tokens auf einen Blick erkennst.
featuresEnthält die Payload den standardmäßigen „exp"-Claim, vergleicht das Tool ihn mit der aktuellen Zeit und zeigt entweder „Gültig bis" oder „Token abgelaufen am" mit dem genauen Zeitstempel an. Tokens ohne exp-Claim werden als ohne Ablaufdatum ausgewiesen.
featuresWer die Payload eines JWT lesen kann, kann es bis zum Ablauf verwenden – Produktiv-Tokens gehören daher in private Tools. Dieser Decoder läuft vollständig in deinem Browser und überträgt das Token niemals; die sicherere Regel ist jedoch, nach Möglichkeit nur kurzlebige Entwicklungs-Tokens zu decodieren.
privacyEin JWT besteht aus drei Base64URL-kodierten, durch Punkte getrennten Segmenten: Header (Signaturalgorithmus), Payload (die Claims, denen der Aussteller den Prüfer vertrauen lassen will) und Signatur (ein MAC oder eine digitale Signatur über header.payload). Zum Dekodieren wird nie ein Schlüssel benötigt – nur zur Verifizierung.
technicalEin kompaktes, URL-sicheres Token aus drei Base64URL-Segmenten – Header, Payload und Signatur –, das signierte Angaben wie eine Benutzer-ID und eine Ablaufzeit enthält. Es wird häufig für zustandslose Login-Sitzungen und zur Absicherung von API-Anfragen verwendet. Fügen Sie oben eines ein, um Header und Payload zu untersuchen.
technicalFügen Sie unter dem decodierten Header und der Payload das Signaturgeheimnis (für HS256) oder den öffentlichen Schlüssel des Ausstellers im PEM- oder JWK-Format (für RS256, ES256 und ähnliche) in das Feld „Signatur verifizieren“ ein und klicken Sie dann auf „Verifizieren“. Das eingeblendete Abzeichen meldet, ob die Signatur gültig oder ungültig ist oder einen Algorithmus verwendet, den der browserseitige Prüfer nicht unterstützt — alles lokal berechnet, ohne Token oder Schlüssel irgendwohin zu senden.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsKlicke auf Try sample JWT, um ein Demo-HS256-Token mit den Claims sub, name, iat und exp zu laden, damit du siehst, wie Dekodierung und Ablaufprüfung funktionieren, bevor du dein eigenes Token einfügst. Sobald ein Token im Feld steht, erscheint daneben eine Clear-Schaltfläche, die die Eingabe mit einem Klick wieder leert.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth- und OpenID-Connect-Flows debuggen
Decodiere Access-Tokens und ID-Tokens von Auth0, Okta, Cognito und Azure AD, um bei der lokalen OAuth-Integration Scopes, Audiences und Issuer zu überprüfen
Authorization-Header in API-Aufrufen prüfen
Füge das Bearer-Token einer fehlschlagenden API-Anfrage ein, um zu prüfen, ob ein falscher Mandant, eine falsche Rolle oder ein falsches Ablaufdatum schuld ist, bevor du ein Ticket beim Backend-Team eröffnest
Token-Ablauf während der Entwicklung prüfen
Erkenne abgelaufene Tokens, die deine Staging-Umgebung unbemerkt lahmlegen, indem du den exp-Claim ausliest – ganz ohne das Token in ein Terminal zu kopieren oder schnell ein Skript zu schreiben
In Token-Claims kodierte Berechtigungen prüfen
Überprüfe benutzerdefinierte Claims wie Rollen, Mandanten und Feature-Flags, damit Administratoren bestätigen können, dass das Token eines Kunden genau den vom Lizenzteam vorgesehenen Zugriff gewährt
Single-Sign-On-Integrationen prüfen
Prüfen Sie SAML- und OIDC-Tokens aus Enterprise-SSO-Integrationen, um Gruppenmitgliedschaften und Attributzuordnungen zu bestätigen, bevor Sie sie für alle Mitarbeitenden ausrollen
Token-basierte Authentifizierung vermitteln
Nutzen Sie die dekodierten Bereiche für Header, Payload und Signatur, um Bootcamp-Teilnehmern, Junior-Entwicklern und Besuchern von Security-Workshops zu erklären, wie JWTs aufgebaut sind
Die Webhook-Signatureinrichtung eines Partners überprüfen
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate