JWT-Decoder
Dekodiere JSON Web Tokens (JWT) und prüfe HS256-Signaturen direkt in deinem Browser. Token und Secret werden nicht gesendet oder gespeichert.
Was ist ein JSON Web Token?
Ein JWT nach RFC 7519 ist ein kompaktes, URL-sicheres Token-Format. Es besteht aus drei Base64-URL-kodierten Teilen (Header, Payload, Signatur), getrennt durch Punkte. Klassisch signiert (JWS), optional verschlüsselt (JWE).
JWT in drei Schritten dekodieren
- Token einfügen — die drei Base64-URL-Teile in das Eingabefeld.
- Header und Payload lesen — Algorithmus, Claims, Zeitstempel als Datum.
- Signatur prüfen — bei HS256 Shared Secret eingeben, HMAC wird lokal berechnet.
Wichtig: Inhalt ist nicht geheim
Der Payload eines klassischen signierten JWT ist nur Base64-URL-kodiert und mit einem Klick lesbar. Die Signatur schützt vor Manipulation, nicht vor Einsicht. Niemals Passwörter oder personenbezogene Daten in den Payload legen.
Standard-Claims im JWT
exp = Ablaufzeit, iat = Ausstellungszeit,
iss = Aussteller, sub = Subjekt (oft
User-ID), aud = vorgesehene Empfänger. Definiert in
RFC 7519 §4.1. Der Decoder zeigt Zeitstempel als lesbares Datum und
markiert abgelaufene Tokens.
Häufige Fragen
Welche Algorithmen werden geprüft?
HS256 (HMAC-SHA-256) mit Shared Secret. RS256 und ES256 werden dekodiert, die Signaturprüfung benötigt jedoch den öffentlichen Schlüssel des Ausstellers.
Werden Token oder Secret hochgeladen?
Nein. Dekodierung und HMAC-Berechnung laufen vollständig im Browser über die Web Crypto API. Weder Token noch Secret verlassen dein Gerät.
Weitere Tools: Base64, JSON-Toolkit, Hashes.
Die App benötigt JavaScript. Bitte aktiviere es.