JWT Decoder

Füge einen JWT ein und sieh sofort Header, Payload und Signatur.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
Was ist ein JWT?

                
JSON Web Token (JWT, RFC 7519) ist ein offener Standard, um Ansprüche (Claims) zwischen zwei Parteien sicher und kompakt zu übertragen. JWTs werden in modernen Web-APIs für Authentifizierung und Autorisierung eingesetzt — etwa nach einem Login zur Identifikation des Nutzers bei jeder folgenden Anfrage.

                
Wichtig: Ein JWT ist nicht verschlüsselt, sondern nur signiert. Jeder, der den Token besitzt, kann seinen Inhalt lesen. Speichere also keine Passwörter oder sensiblen Daten im Payload.


                
Aufbau eines JWT

                
    
                    
  • Header — beschreibt den Token-Typ (typ) und den verwendeten Signatur-Algorithmus (alg), z. B. HS256, RS256.
    • 
                    
  • Payload — enthält die Claims (Datenpunkte) als JSON, base64url-codiert. Standard- und Custom-Claims sind möglich.
    • 
                    
  • Signatur — kryptografische Signatur über Header + Payload, mit dem in alg angegebenen Algorithmus erzeugt.
    • 
                


                
Standard-Claims (RFC 7519)

                
    
                    
  • iss — Issuer (Aussteller des Tokens)
    • 
                    
  • sub — Subject (typischerweise die User-ID)
    • 
                    
  • aud — Audience (für wen der Token bestimmt ist)
    • 
                    
  • exp — Expiration Time (Ablaufzeitpunkt als Unix-Timestamp)
    • 
                    
  • iat — Issued At (Ausstellungszeitpunkt)
    • 
                    
  • nbf — Not Before (gültig nicht vor diesem Zeitpunkt)
    • 
                


                
Ist dieses Tool sicher?

                
Ja. Die Decodierung erfolgt vollständig in deinem Browser mit JavaScript. Es wird kein Token an einen Server gesendet, und nichts wird protokolliert. Du kannst die Implementierung jederzeit in den Browser-Entwicklertools überprüfen. Trotzdem solltest du produktiv genutzte Tokens nur in vertrauenswürdigen Umgebungen einfügen.