Warum keine Signaturprüfung?

Signaturprüfung erfordert das Secret oder den Public Key. Ein Secret in eine Webseite einfügen ist genau das falsche Bedrohungsmodell - halte es am Server.

Werden Tokens gespeichert?

Nein. Dekodierung läuft im Browser; wir senden den Token nie über das Netz.

JWT-Decoder

JSON Web Tokens lokal dekodieren und untersuchen.

Läuft in deinem Browser

JWT einfügen, um Header und Payload zu sehen. iat- und exp-Daten werden lesbar dargestellt. Signaturen werden hier nicht verifiziert - Secret bleibt am Server.

JWT

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "Arnaud",
  "iat": 1516239022
}

Standard-Claims

Subjekt: 1234567890
Ausgestellt am: 2018-01-18 01:30:22 UTC

So funktioniert's

JWT einfügen
Vollen Token mit drei Teilen (header.payload.signature) einfügen. Beispiel-Token sind vorbelegt.
Header und Payload lesen
Die dekodierten JSON-Teile stehen nebeneinander. Standard-Claims (iss, sub, exp, iat) werden als lesbare Daten und Labels formatiert.
Ablauf prüfen
Schauen, ob `exp` in der Vergangenheit liegt - mit Abstand der häufigste Ablehnungsgrund.

Was ist das?

Ein JSON Web Token (JWT) sind drei URL-sichere Base64-Strings, durch Punkte getrennt: ein Header (Algorithmus, Typ), ein Payload (die Claims - für wen, Ablauf, Rechte) und eine Signatur. Ein JWT-Decoder splittet und dekodiert die ersten beiden Segmente. Er verifiziert die Signatur NICHT - dazu wird das Secret gebraucht.

Wann verwenden

Ein JWT inspizieren beim Debuggen eines Auth-Flows: für wen ist der Token, wann läuft er ab, welche Scopes, welcher Issuer. Hilfreich für Support, Security-Reviewer und Entwickler an OAuth/OpenID. Bei unerwartet abgelehnter Anfrage immer `exp` gegen die aktuelle Zeit prüfen.

Häufige Fehler

Keine Produktions-Tokens auf unbekannten Seiten einfügen - der Payload kann IDs, E-Mails, Scopes enthalten. JWT nicht mit Verschlüsselung verwechseln: der Payload ist nur Base64, für jeden lesbar. Und Signaturverifikation braucht den Issuer-Key - vertraue einem JWT nie ohne serverseitige Verifikation.

FAQ

Warum keine Signaturprüfung?: Signaturprüfung erfordert das Secret oder den Public Key. Ein Secret in eine Webseite einfügen ist genau das falsche Bedrohungsmodell - halte es am Server.
Werden Tokens gespeichert?: Nein. Dekodierung läuft im Browser; wir senden den Token nie über das Netz.

Base64-Encoder / -Decoder

Base64-Strings (Text und Dateien) kodieren und dekodieren.

JSON-Formatierer & Validator

JSON sofort formatieren, minifizieren und validieren.

URL-Encoder / -Decoder

URLs und Query-Strings prozent-kodieren und dekodieren.