JWT-Decoder

Dekodiere JSON Web Tokens (JWT) und prüfe HS256-Signaturen direkt in deinem Browser. Token und Secret werden nicht gesendet oder gespeichert.

Was ist ein JSON Web Token?

Ein JWT nach RFC 7519 ist ein kompaktes, URL-sicheres Token-Format. Es besteht aus drei Base64-URL-kodierten Teilen (Header, Payload, Signatur), getrennt durch Punkte. Klassisch signiert (JWS), optional verschlüsselt (JWE).

JWT in drei Schritten dekodieren

  1. Token einfügen — die drei Base64-URL-Teile in das Eingabefeld.
  2. Header und Payload lesen — Algorithmus, Claims, Zeitstempel als Datum.
  3. Signatur prüfen — bei HS256 Shared Secret eingeben, HMAC wird lokal berechnet.

Wichtig: Inhalt ist nicht geheim

Der Payload eines klassischen signierten JWT ist nur Base64-URL-kodiert und mit einem Klick lesbar. Die Signatur schützt vor Manipulation, nicht vor Einsicht. Niemals Passwörter oder personenbezogene Daten in den Payload legen.

Standard-Claims im JWT

exp = Ablaufzeit, iat = Ausstellungszeit, iss = Aussteller, sub = Subjekt (oft User-ID), aud = vorgesehene Empfänger. Definiert in RFC 7519 §4.1. Der Decoder zeigt Zeitstempel als lesbares Datum und markiert abgelaufene Tokens.

Häufige Fragen

Welche Algorithmen werden geprüft?

HS256 (HMAC-SHA-256) mit Shared Secret. RS256 und ES256 werden dekodiert, die Signaturprüfung benötigt jedoch den öffentlichen Schlüssel des Ausstellers.

Werden Token oder Secret hochgeladen?

Nein. Dekodierung und HMAC-Berechnung laufen vollständig im Browser über die Web Crypto API. Weder Token noch Secret verlassen dein Gerät.

Weitere Tools: Base64, JSON-Toolkit, Hashes.

Die App benötigt JavaScript. Bitte aktiviere es.