JWT-Decoder
Fügen Sie ein JSON Web Token ein, um zu sehen, was tatsächlich darin steckt — Header und Payload, dekodiert und übersichtlich formatiert.
Was das Dekodieren eines JWT verrät — und was nicht
Header und Payload eines JWT sind lediglich Base64URL-kodiertes JSON — jeder kann sie dekodieren und lesen, ohne dass ein Geheimnis nötig wäre, genau das tut dieses Tool. Was es nicht kann: die Signatur verifizieren — dafür braucht es das Geheimnis oder den öffentlichen Schlüssel des Ausstellers, und das gibt man bewusst nicht in eine beliebige Website ein.
Wird damit geprüft, ob das Token gültig oder noch nicht abgelaufen ist?
Nein — es dekodiert nur die lesbaren Teile. Die Verifizierung der Signatur und die Prüfung des Ablaufdatums („exp“) erfolgen auf dem Server, der das Token ausgestellt hat, mit einem Geheimnis, das dieses Tool niemals zu sehen bekommt.
Soll ein JWT so lesbar sein?
Ja — Header und Payload sind nur kodiert, nicht verschlüsselt. Legen Sie niemals Geheimnisse oder sensible Daten direkt in einen JWT-Payload; die Signatur dient dazu, Manipulation nachzuweisen, nicht dazu, den Inhalt zu verbergen.
Wird mein Token irgendwohin gesendet?
Nein — das Dekodieren läuft vollständig in Ihrem Browser mit reinem JavaScript. Es wird nichts hochgeladen.
