JWT-Token-Decoder und -Inspektor
Beschreibung
Dekodieren Sie JSON Web Tokens, um Header, Payloads und Signaturen ohne geheime Schlüssel zu untersuchen. Ideal zum Debuggen von Authentifizierungsabläufen.
Über JWT-Token-Decoder und -Inspektor
Der JWT-Decoder teilt ein JSON Web Token in seine drei Teile auf – Header, Payload und Signatur – und decodiert die Base64URL-Segmente, sodass Sie die Claims als reines JSON lesen können. Er läuft vollständig in Ihrem Browser ab und benötigt niemals Ihren geheimen Schlüssel, denn das Decodieren eines JWT erfordert keine Verifizierung. Verwenden Sie ihn, um Authentifizierungsabläufe zu debuggen, den Token-Ablauf zu prüfen und zu bestätigen, welche Claims ein Dienst ausgestellt hat.
Verwendung
- Fügen Sie Ihr JWT (die lange Zeichenkette xxxxx.yyyyy.zzzzz) in die Eingabe ein.
- Der Header (Algorithmus und Token-Typ) und der Payload (Claims) werden decodiert und als formatiertes JSON angezeigt.
- Prüfen Sie Standard-Claims wie exp (Ablauf), iat (ausgestellt am), iss (Aussteller) und sub (Subjekt).
- Das Signatursegment wird angezeigt, aber nicht verifiziert – die Verifizierung erfordert den Signaturschlüssel.
Häufige Fragen
Benötigt das Decodieren eines JWT den geheimen Schlüssel?
Nein. Der Header und der Payload sind nur Base64URL-codiert, nicht verschlüsselt, sodass jeder sie decodieren und lesen kann. Der geheime Schlüssel wird nur benötigt, um die Signatur zu verifizieren, die belegt, dass das Token nicht manipuliert wurde.
Ist es sicher, hier ein Token einzufügen?
Das Decodieren erfolgt vollständig in Ihrem Browser – nichts wird hochgeladen. Behandeln Sie echte Zugriffstokens dennoch als Geheimnisse und vermeiden Sie es, Produktionstokens in ein Tool einzufügen, das Sie nicht kontrollieren.
Warum wird mein Token als abgelaufen angezeigt?
Der exp-Claim ist ein Unix-Zeitstempel. Liegt er vor der aktuellen Zeit, ist das Token abgelaufen und die meisten Server werden es ablehnen, auch wenn es sich hier noch problemlos decodieren lässt.
Kann ich hier ein verschlüsseltes JWE lesen?
Nein. Dieses Tool decodiert signierte JWTs (JWS). Verschlüsselte Tokens (JWE) erfordern den Entschlüsselungsschlüssel und sind durch bloßes Decodieren nicht für Menschen lesbar.