Einführung
Dieser JWT-Decoder hilft dir, JSON Web Tokens direkt im Browser zu untersuchen. Füge ein JWT oder einen Bearer-Token ein, dekodiere Header und Payload, prüfe Claims wie `iss`, `sub`, `aud`, `scope`, `iat`, `nbf` und `exp`, und erkenne schnell, ob ein Token abgelaufen oder noch nicht gültig wirkt. Alles wird lokal verarbeitet, was für Debugging sinnvoller ist.
Verwendung
Füge ein vollständiges JWT oder einen Bearer-Token in das Eingabefeld ein. Das Tool entfernt bei Bedarf das Bearer-Präfix, trennt den Token an den Punkten, dekodiert Header und Payload aus Base64URL und zeigt beide als lesbares JSON an. Prüfe danach die Claim-Zusammenfassung und das Zeitfenster und kopiere oder lade das Ergebnis herunter, wenn du es teilen oder zwischen Umgebungen vergleichen willst. Dieses Tool prüft keine Signatur und dient daher nur zur Inspektion.
Funktionen
- •Lokale Dekodierung von JWT-Header und Payload im Browser
- •Unterstützt rohe JWT-Strings und Bearer-Tokens
- •Lesbare JSON-Ausgabe für Header und Payload
- •Prüfung von `iat`, `nbf` und `exp`
- •Schnelle Übersicht zu Algorithmus, Issuer, Subject, Audience, Scope und Key ID
- •Dekodiertes JSON kopieren oder herunterladen
- •Warnungen bei scheinbar abgelaufenen oder noch nicht gültigen Tokens
- •Kein Upload auf einen Server und keine Signaturprüfung
Was ein JWT-Decoder zeigt
Ein JWT besteht meist aus drei durch Punkte getrennten Segmenten: Header, Payload und Signatur. Der Header beschreibt Metadaten wie Algorithmus oder Schlüssel-ID. Die Payload enthält Claims, die von APIs und Anwendungen ausgewertet werden, etwa wem der Token gehört, für welche Audience er gedacht ist und wann er akzeptiert oder abgelehnt werden soll.
Dekodieren ist nicht Verifizieren
Das Dekodieren eines JWT bedeutet nur, das Base64URL-kodierte JSON im Token lesbar zu machen. Es beweist nicht, dass der Token echt, unverändert oder vertrauenswürdig ist. Für die Signaturprüfung brauchst du das passende Secret oder den richtigen Public Key, und diese Prüfung muss in deiner Anwendung oder deinem Identity-Layer stattfinden.
exp, nbf und iat richtig lesen
iat zeigt in der Regel den Ausstellungszeitpunkt, nbf den frühesten Gültigkeitszeitpunkt und exp den Ablaufzeitpunkt. Üblicherweise sind das Unix-Zeitstempel in Sekunden. Beim Debuggen solltest du sie immer mit der Uhr des Systems vergleichen, das die Autorisierung tatsächlich durchsetzt.
Typische JWT-Debugging-Situationen
Ein Decoder ist nützlich, wenn ein Bearer-Token in Staging plötzlich fehlschlägt, eine API 401 Unauthorized zurückgibt, Audience-Werte zwischen Services nicht zusammenpassen oder eine mobile App nach einem Refresh scheinbar noch einen alten Token verwendet. Er hilft auch dabei, einen strukturell defekten Token früh zu erkennen, bevor du Signaturschlüssel oder Session-Speicher analysierst.
JWT-Segmentübersicht
Jedes Segment hilft bei einem anderen Teil der Analyse.
| Segment | Enthält meist | Praktischer Hinweis |
|---|---|---|
| Header | Algorithmus, Typ, Key ID | Hilfreich für Format- und Signing-Setup |
| Payload | Claims wie iss, sub, aud und exp | Hilfreich für Autorisierungskontext und Timing |
| Signatur | Kryptografische Signaturbytes | Allein ihre Existenz beweist noch kein Vertrauen |
Häufige JWT-Claims
Diese Felder werden bei abgelehnten Tokens besonders oft geprüft.
| Claim | Bedeutung | Debugging-Hinweis |
|---|---|---|
| iss | Issuer | Prüfe, ob der Token vom erwarteten Identity-Provider stammt |
| sub | Subject | Kennzeichnet oft Benutzer, Konto oder Dienst |
| aud | Audience | Muss häufig zur empfangenden API oder Ressource passen |
| nbf | Nicht gültig vor | Zukünftige Werte führen oft zu sofortiger Ablehnung |
| exp | Ablaufzeit | Eine sehr häufige Ursache für 401-Antworten |
Häufige Fragen
Prüft dieser JWT-Decoder die Signatur?
Nein. Er dekodiert nur die lesbaren JSON-Bestandteile des Tokens. Die Signaturprüfung muss separat mit dem richtigen Schlüsselmaterial erfolgen.
Werden Tokens an einen Server gesendet?
Nein. Die Dekodierung läuft lokal im Browser und sendet den Tokeninhalt nicht an einen Server.
Warum scheitert mein Token in der API, obwohl es sich dekodieren lässt?
Ein Token kann sauber dekodiert werden und trotzdem an Signaturprüfung, Audience, Issuer, Ablauf, Not-before, Clock-Skew oder fehlenden Scopes scheitern.
Kann ich einen Bearer-Token aus einem Request-Header einfügen?
Ja. Beginnt der Inhalt mit `Bearer `, wird dieses Präfix automatisch entfernt.
Was bedeutet ein Token mit nur zwei Segmenten?
Manche unsignierten oder nicht standardmäßigen Tokens haben keine Signatur. Header und Payload lassen sich trotzdem lesen, aber der Token sollte nicht als signiertes JWT betrachtet werden.