Tools auf Deutsch / JWT dekodieren online — Claims und Ablauf prüfen, ohne den Token zu sendenEnglish version →

JWT dekodieren online — Claims und Ablauf prüfen, ohne den Token zu senden

Ein JWT besteht aus drei durch Punkte getrennten Teilen: header.payload.signature. Die ersten beiden sind bloß base64url — jeder mit dem Token kann sie lesen; verschlüsselt ist da nichts. Dieses Tool dekodiert die Claims und wandelt exp/iat in lesbare Daten um — und sagt sofort, ob der Token abgelaufen ist (Ursache Nr. 1 für 401-Fehler).

Entscheidend: Die Dekodierung passiert vollständig im Browser. Einen Produktions-Token auf einer Seite einzufügen, die serverseitig verarbeitet, heißt eine gültige Zugangsberechtigung zu verschenken; hier verlässt er Ihren Rechner nicht. Dennoch gilt: Ein Token, der irgendwo exponiert war, sollte rotiert werden.

So funktioniert's

  1. Das komplette JWT einfügen (Präfix „Bearer “ vorher entfernen)
  2. Header, Payload und das umgerechnete Ablaufdatum ablesen
  3. Zur Signaturprüfung anschließend den JWT Signature Verifier verwenden

Häufige Fragen

Wenn jeder lesen kann — kann dann jeder fälschen?
Lesen ja, erfolgreich fälschen nein: Der Server prüft die Signatur mit seinem Schlüssel; ein einziges geändertes Zeichen im Payload macht sie ungültig. Die eigentliche Lektion: keine Geheimnisse in den Payload — der ist für jeden Token-Inhaber öffentlich.
Warum zeigt exp 1970 oder ein absurdes Jahr?
Der Aussteller hat Millisekunden statt Sekunden eingetragen (der JWT-Standard verwendet Sekunden seit Epoch). 13 Stellen = ms, 10 Stellen = Sekunden.
Mein Token hat 5 Teile und lässt sich nicht dekodieren
Das ist ein JWE (verschlüsseltes JWT): Der Payload ist tatsächlich verschlüsselt und ohne Schlüssel nicht lesbar — anders als das nur signierte JWS mit 3 Teilen.