Tools auf Deutsch / JWT dekodieren online — Claims und Ablauf prüfen, ohne den Token zu sendenEnglish version →
JWT dekodieren online — Claims und Ablauf prüfen, ohne den Token zu senden
Ein JWT besteht aus drei durch Punkte getrennten Teilen: header.payload.signature. Die ersten beiden sind bloß base64url — jeder mit dem Token kann sie lesen; verschlüsselt ist da nichts. Dieses Tool dekodiert die Claims und wandelt exp/iat in lesbare Daten um — und sagt sofort, ob der Token abgelaufen ist (Ursache Nr. 1 für 401-Fehler).
Entscheidend: Die Dekodierung passiert vollständig im Browser. Einen Produktions-Token auf einer Seite einzufügen, die serverseitig verarbeitet, heißt eine gültige Zugangsberechtigung zu verschenken; hier verlässt er Ihren Rechner nicht. Dennoch gilt: Ein Token, der irgendwo exponiert war, sollte rotiert werden.
So funktioniert's
- Das komplette JWT einfügen (Präfix „Bearer “ vorher entfernen)
- Header, Payload und das umgerechnete Ablaufdatum ablesen
- Zur Signaturprüfung anschließend den JWT Signature Verifier verwenden
Häufige Fragen
- Wenn jeder lesen kann — kann dann jeder fälschen?
- Lesen ja, erfolgreich fälschen nein: Der Server prüft die Signatur mit seinem Schlüssel; ein einziges geändertes Zeichen im Payload macht sie ungültig. Die eigentliche Lektion: keine Geheimnisse in den Payload — der ist für jeden Token-Inhaber öffentlich.
- Warum zeigt exp 1970 oder ein absurdes Jahr?
- Der Aussteller hat Millisekunden statt Sekunden eingetragen (der JWT-Standard verwendet Sekunden seit Epoch). 13 Stellen = ms, 10 Stellen = Sekunden.
- Mein Token hat 5 Teile und lässt sich nicht dekodieren
- Das ist ein JWE (verschlüsseltes JWT): Der Payload ist tatsächlich verschlüsselt und ohne Schlüssel nicht lesbar — anders als das nur signierte JWS mit 3 Teilen.
Weitere Tools mit deutscher Erklärung
- JSON formatieren online (JSON Formatter) — kostenlos
- JSON validieren online (JSON Validator) — mit Zeile und Spalte
- JSON als Baum und interaktiven Graphen visualisieren (JSON Viewer)
- Base64 kodieren online — mit korrektem UTF-8 (Umlaute)
- Base64 dekodieren online — UTF-8-korrekt, auch für JWT
- URL-Encoding online — Text für URLs kodieren (Percent-Encoding)