JWT Decoder

Dekodiere Header und Payload eines JWT im Browser und prüfe Ablauf und Claims — Tokens verlassen dein Gerät nie.

#development
Nur Dekodierung — die Signatur wird NICHT geprüft. Dein Token verlässt den Browser nie.

Über das JWT Decoder

Füge ein JSON Web Token ein und sieh sofort, was drinsteckt: den dekodierten Header mit dem Signaturalgorithmus, die vollständige Payload mit jedem Claim und die registrierten Zeitstempel (iat, exp, nbf), übersetzt in lesbare Daten. Das Tool sagt dir außerdem auf einen Blick, ob das Token bereits abgelaufen ist oder wie lange es noch gilt — kein Kopieren von Epoch-Sekunden in einen separaten Umrechner mehr beim Debuggen.

JWTs transportieren routinemäßig Session-IDs, Nutzerdaten und API-Scopes — eines in eine unbekannte Website einzufügen ist also ein echtes Sicherheitsrisiko. Dieser Decoder parst alles lokal in deinem Browser: Das Token wird nie übertragen, protokolliert oder gespeichert, du kannst also gefahrlos echte Produktions-Tokens inspizieren, während du Login-Flows, OAuth-Integrationen, Ablauf-Bugs und falsch konfigurierte Claims debuggst. Beachte: Dekodieren liest das Token nur — die Signatur wird nicht geprüft.

Funktionen

  • Dekodierter Header und Payload nebeneinander
  • iat-, exp- und nbf-Claims in lesbare Daten übersetzt
  • Klarer Status: abgelaufen oder gültig bis, auf einen Blick
  • Verarbeitet Standard- und Custom-Claims gleichermaßen
  • Token wird lokal geparst — es verlässt deinen Browser nie
  • Kostenlos, sofort und ohne Anmeldung

So dekodierst du ein JWT online

  1. Kopiere das JWT aus deiner App, API-Antwort oder dem Browser-Speicher.
  2. Füge das vollständige Token in das Eingabefeld ein.
  3. Lies den dekodierten Header und die Payload sofort ab.
  4. Prüfe die übersetzten iat- und exp-Daten und den Ablaufstatus.
  5. Kontrolliere die Custom-Claims, um zu bestätigen, dass dein Auth-Flow sie korrekt setzt.

Häufig gestellte Fragen

Ist es sicher, ein echtes JWT hier einzufügen?

Ja. Das Token wird vollständig in deinem Browser mit JavaScript zerlegt und Base64-dekodiert — kein Request trägt es zu einem Server, nichts wird protokolliert oder gespeichert. Behandle produktive Tokens trotzdem wie Passwörter: Dieses Tool leakt sie nicht, aber füge sie nicht in Tools ein, die dasselbe nicht versprechen können.

Prüft dieses Tool die JWT-Signatur?

Nein. Es dekodiert Header und Payload, damit du die Claims lesen kannst, prüft aber nicht die Signatur — dafür wäre der geheime oder öffentliche Schlüssel des Ausstellers nötig. Vertraue dem Inhalt eines Tokens nie für Autorisierungsentscheidungen, ohne seine Signatur serverseitig mit dem richtigen Schlüssel zu verifizieren.

Warum kann ich ein JWT ohne den geheimen Schlüssel lesen?

Weil JWTs kodiert, nicht verschlüsselt sind. Header und Payload sind bloß Base64Url-kodiertes JSON, das jeder dekodieren kann; der Schlüssel erzeugt nur die Signatur, die belegt, dass das Token nicht manipuliert wurde. Deshalb gehören sensible Daten nie in eine JWT-Payload, es sei denn, das Token wird zusätzlich als JWE verschlüsselt.

Was bedeuten iat, exp und nbf?

Es sind registrierte Zeitstempel-Claims in Unix-Epoch-Sekunden: iat ist der Ausstellungszeitpunkt des Tokens, exp der Ablaufzeitpunkt, und nbf der Moment, vor dem es nicht akzeptiert werden darf. Dieser Decoder wandelt alle drei in dein lokales Datum samt Uhrzeit um und markiert abgelaufene Tokens automatisch.

Warum lässt sich mein Token nicht dekodieren?

Ein gültiges JWT hat genau drei durch Punkte getrennte Base64Url-Abschnitte: Header, Payload und Signatur. Das Dekodieren scheitert, wenn das Token beim Kopieren abgeschnitten wurde, in Anführungszeichen oder ein 'Bearer '-Präfix gehüllt ist oder gar kein JWT ist. Füge nur das rohe Token ein und stelle sicher, dass beide Punkte den Kopiervorgang überlebt haben.