JSON Web Tokens dekodieren

Kostenloser Online-JWT-Decoder, der in Ihrem Browser läuft. Fügen Sie ein JSON Web Token ein und das Tool teilt es in drei base64url-Segmente (Header, Payload, Signatur), dekodiert jedes und rendert das JSON. Über der Ausgabe zeigen Status-Pillen "wohlgeformt", den Algorithmus aus dem Header und das Gültigkeitsfenster — grün wenn derzeit gültig, gelb wenn vor nbf, rot wenn nach exp. Darunter sind registrierte Claims (iss, sub, aud, exp, nbf, iat, jti) mit ihren RFC-7519-Bedeutungen aufgelistet; iat/exp/nbf sind auch als ISO-Zeitstempel formatiert.

Wie benutzen

JWT einfügen

Drei base64url-kodierte Segmente getrennt durch Punkte.

Header + Payload lesen

Dekodiertes JSON wird rechts angezeigt.

Status-Pillen prüfen

alg, Gültigkeitsfenster, exp/nbf-Countdowns.

Registrierte Claims inspizieren

Jede bekannte Claim wird inline erklärt.

JWT-Header, Payload, Ablauf und registrierte Claims inspizieren — ohne Verifikation

JWT einfügen (drei base64url-Segmente getrennt durch Punkte)

Header header

Payload payload

Hinweis: dieses Tool DEKODIERT JWTs nur — es prüft NICHT die Signatur. Jeder kann ein JWT mit beliebigem Inhalt erstellen. Verwenden Sie es, um zu sehen, was ein Token BEHAUPTET, nicht um ihm zu vertrauen. Echte Prüfung braucht das serverseitige Geheimnis oder den JWKS des Ausstellers.

Funktionen

Drei-Segment-Parse Gültigkeits-Pille Hinweise zu registrierten Claims Menschlich lesbare Zeitstempel Freundlich zu schlechten Eingaben Ehrlich zum Umfang

Typische Anwendungen

Ein Authorization-Bearer-Token aus einer curl-Antwort inspizieren.
Ein „exp expired"-401 von Ihrem Backend debuggen.
Den Audience-Claim eines vom Identity-Provider ausgestellten Tokens nachschlagen.
Den iat-Zeitstempel bestätigen, um zu finden, wann eine Sitzung erzeugt wurde.

Warum dieses

Die meisten Browser-JWT-Decoder zeigen ein Verify-Feld, das vorgibt, Signaturen zu validieren — dafür bräuchten sie aber Ihr Server-Geheimnis. Wir nehmen keine Geheimnisse und tun nicht so. Das Tool ist ehrlich nur über Dekodierung und zeigt Gültigkeitszeiten ohne falsches Sicherheitsgefühl.

Häufige Fragen

Wird die Signatur geprüft?

Nein. Die Prüfung benötigt das Server-Geheimnis (für HS-Algorithmen) oder den öffentlichen Schlüssel des Ausstellers (für RS/ES/EdDSA). Beides ist serverseitig — geben Sie Ihr Geheimnis niemals in ein Drittanbieter-Tool ein.

Ist JWT-Dekodierung im Browser sicher?

Ja — Dekodierung ist nur base64url + JSON.parse. Das Tool sendet das Token nirgendwohin. Denken Sie nur daran: dekodiert ≠ verifiziert.

Was, wenn mein JWT zusätzliche Punkte hat?

Ein Standard-JWT hat genau drei Segmente. JWE (verschlüsselt) hat fünf Segmente und sieht ähnlich aus; dieses Tool zeigt „Ungültiges JWT", weil es JWE-Entschlüsselung nicht unterstützt (Empfängerschlüssel nötig).

Warum zeigt die Gültigkeit grün, obwohl ich weiß, dass das Token upstream abgelaufen ist?

Die Pille vergleicht den exp-Claim des Tokens mit Ihrer Browser-Uhr. Wenn Ihre Uhr falsch ist, ist die Pille falsch. Prüfen Sie den tatsächlichen exp-Wert unten.

Nicht registrierte Claims?

Alle benutzerdefinierten Claims (role, scope, tenant usw.) erscheinen im Payload-Bereich. Nur die sieben RFC-7519-registrierten Claims erhalten einen Erklärungsblock.

Handy?

Ja. Einfügen, lesen, kopieren.

💡 Sollen wir ein Tool speziell für Sie verbessern?

Machen wir — und zwar kostenlos! Schreiben Sie uns kurz Ihre Idee. Wenn Sie sie im Detail besprechen möchten, hinterlassen Sie eine E-Mail-Adresse, wir melden uns. Anonym geht auch.

Wie bewerten Sie dieses Tool?

Danke für Ihre Bewertung!

Bewertung ändern

Möchten Sie einen Kommentar hinterlassen?

Möchten Sie mehr sagen? Hinterlassen Sie einen Kommentar!

Danke! Ihr Kommentar erscheint nach der Moderation.

Für wen ist dieses Tool gedacht?

💻 Entwicklerinnen & IT-Profis

Veröffentlicht 22 Mai 2026