KitMul MarkKitMul Text

JWT Payload & Header Decoder

Visualisieren und inspizieren Sie Header und Payload Ihrer JSON Web Tokens sofort.

Der JWT-Decoder ermöglicht es Ihnen, jeden JSON Web Token einzufügen und sofort dessen Header (Algorithmus, Token-Typ) und Payload (Claims, Ablauf, Aussteller) in einem lesbaren, strukturierten Format zu visualisieren. Die Dekodierung läuft vollständig in Ihrem Browser — Ihre sensiblen Tokens werden niemals an einen Server gesendet. Durchsuchen Sie Claims, kopieren Sie dekodierte Daten und verstehen Sie die Token-Struktur zur Fehlerbehebung von Authentifizierungsabläufen in Web- und Mobilanwendungen.

Deine Daten bleiben in deinem Browser
War dieses Tool hilfreich?
Anleitung

So Dekodieren Sie ein JWT

1
1

Token Einfügen

Kopieren Sie den JWT-String aus Ihren Request-Headern, Cookies oder der Authentifizierungsantwort und fügen Sie ihn in das Eingabefeld oben ein.

2
2

Dekodierte Ausgabe Inspizieren

Das Tool teilt und dekodiert sofort die Header- und Payload-Abschnitte und zeigt Algorithmus, Claims und Ablaufzeit in lesbarem JSON an.

3
3

Claims Suchen und Kopieren

Verwenden Sie die Suchleiste, um bestimmte Claims in großen Payloads zu finden. Kopieren Sie einzelne Abschnitte oder die gesamte dekodierte Ausgabe mit einem Klick.

Guide

Vollständiger Leitfaden zu JSON Web Tokens

Was ist ein JSON Web Token (JWT)?

Ein JSON Web Token (JWT, ausgesprochen 'dschot') ist ein kompaktes, URL-sicheres Mittel zur Darstellung von Claims, die zwischen zwei Parteien übertragen werden. Es besteht aus drei Base64Url-kodierten Teilen, getrennt durch Punkte: dem Header (der den Algorithmus und Token-Typ angibt), dem Payload (der Claims wie Benutzer-ID, E-Mail, Rollen und Ablaufzeit enthält) und der Signatur (zur Überprüfung, dass das Token nicht manipuliert würde). JWTs sind der Standard für Authentifizierung in modernen Webanwendungen, APIs und Microservices-Architekturen.

Warum JWT-Dekodierung für Entwickler wichtig ist

Entwickler müssen häufig JWTs während der Authentifizierungsfehlerbehebung, API-Integration und Sicherheitsprüfung inspizieren. Zu verstehen, welche Claims ein Token enthält — wer es ausgestellt hat (iss), wann es abläuft (exp), welche Berechtigungen es gewährt (scope oder roles) — ist wesentlich für die Fehlerbehebung bei Login-Fehlern, Berechtigungsfehlern und Token-Erneuerungsproblemen. Ein JWT-Decoder verwandelt die opake Base64-Zeichenkette in lesbares JSON und macht diese Details sofort sichtbar, ohne benutzerdefinierten Code zu schreiben.

Wichtige JWT-Konzepte

Registrierte Claims sind standardisierte Felder: iss (Aussteller), sub (Betreff), aud (Zielgruppe), exp (Ablauf), nbf (nicht vor), iat (ausgestellt am), jti (eindeutige ID). Benutzerdefinierte Claims tragen anwendungsspezifische Daten wie Rollen oder Berechtigungen. Der Header gibt den Signaturalgorithmus an — üblicherweise HS256 (HMAC-SHA256) für symmetrische Signierung oder RS256 (RSA-SHA256) für asymmetrische Signierung. Wichtig: Dekodierung enthüllt den Payload, aber nur Signaturverifizierung (die den geheimen Schlüssel erfordert) bestätigt die Authentizität des Tokens.

Best Practices für JWT-Sicherheit

Speichern Sie JWTs niemals in localStorage — verwenden Sie httpOnly-Cookies zur Vermeidung von XSS-Angriffen. Setzen Sie kurze Ablaufzeiten (15-60 Minuten) und verwenden Sie Refresh-Tokens für längere Sitzungen. Validieren Sie immer die Signatur serverseitig, bevor Sie Claims vertrauen. Speichern Sie keine sensiblen Daten im Payload — JWTs sind kodiert, nicht verschlüsselt. Verwenden Sie ausschließlich HTTPS, um Token-Abfang zu verhindern. Rotieren Sie Signaturschlüssel regelmäßig.

Sources

Examples

Gelöste Beispiele

Beispiel: Abgelaufenes Token debuggen

Gegeben: Ein Benutzer meldet, dass er trotz Anmeldung nicht auf die API zugreifen kann.

1

Schritt 1: Kopieren Sie das JWT aus den Request-Headern des Benutzers.

2

Schritt 2: Fügen Sie es in den Decoder ein, um den Payload zu sehen.

3

Schritt 3: Prüfen Sie den 'exp'-Claim (Ablauf) — er zeigt einen Unix-Zeitstempel, der bereits vergangen ist.

4

Schritt 4: Das Token ist abgelaufen und der Refresh-Mechanismus hat versagt.

Ergebnis: Das Problem ist ein abgelaufenes Token. Korrigieren Sie den Refresh-Token-Flow, um Tokens automatisch vor Ablauf zu erneuern.

Beispiel: Token-Claims überprüfen

Gegeben: Eine API gibt 403 Forbidden für einen Benutzer zurück, der Admin-Zugriff haben sollte.

1

Schritt 1: Dekodieren Sie das JWT des Benutzers.

2

Schritt 2: Prüfen Sie den 'roles'-Claim im Payload — er zeigt ['user'] aber nicht ['admin'].

3

Schritt 3: Die Benutzerrolle würde nach der Beförderung nicht im Identity Provider aktualisiert.

Ergebnis: Aktualisieren Sie die Rolle im Identity Provider und lassen Sie den Benutzer sich erneut authentifizieren, um ein neues Token mit Admin-Claims zu erhalten.

Anwendungsfälle

Anwendungsfälle

Authentifizierungs-Debugging

Dekodieren Sie JWT-Tokens, um Authentifizierungsprobleme wie abgelaufene Tokens, fehlende Claims oder falsche Rollen in Webanwendungen und REST-APIs zu identifizieren und die Lösung von Zugriffsproblemen zu beschleunigen.

API-Integration

Inspizieren Sie Claims und Berechtigungen von Tokens, die von Identity Providern wie Auth0, Firebase oder AWS Cognito ausgestellt werden, um die korrekte OAuth-2.0-Konfiguration bei der Integration zu überprüfen.

Sicherheitsaudit

Überprüfen Sie JWT-Tokens, um sicherzustellen, dass sie keine sensiblen Informationen im Payload enthalten, die Signaturalgorithmen sicher sind und die Ablaufzeiten den Sicherheitsrichtlinien entsprechen.

Häufig gestellte Fragen

?Was macht ein JWT-Decoder?

Ein JWT-Decoder extrahiert und zeigt die im JSON Web Token kodierten Header- und Payload-Daten an. Er enthüllt den Algorithmus, Tokentyp, Claims, Ablaufzeit und andere Metadaten, ohne dass ein geheimer Schlüssel benötigt wird.

?Ist es sicher, JWTs online zu dekodieren?

Ja, dieses Tool dekodiert JWTs vollständig in Ihrem Browser mittels JavaScript. Ihr Token wird niemals an einen Server gesendet, was 100 % Privatsphäre garantiert. Vermeiden Sie jedoch, dekodierte Token mit sensiblen Claims weiterzugeben.

?Verifiziert dieses Tool JWT-Signaturen?

Nein, dieses Tool dekodiert nur Header und Payload. Es verifiziert nicht die kryptografische Signatur. Für die Signaturverifizierung benötigen Sie den geheimen oder öffentlichen Schlüssel und eine serverseitige Bibliothek.

?Was sind die drei Teile eines JWT?

Ein JWT besteht aus drei Base64Url-kodierten Teilen, die durch Punkte getrennt sind: dem Header (Algorithmus und Tokentyp), dem Payload (Claims und Daten) und der Signatur (zur Verifizierung).

?Kann ich abgelaufene JWT-Token dekodieren?

Ja, der Decoder funktioniert mit jedem gültigen JWT-Format, unabhängig davon, ob das Token abgelaufen ist. Sie können den 'exp'-Claim im Payload einsehen, um den genauen Ablaufzeitpunkt zu erfahren.

?Welche JWT-Claims kann ich sehen?

Sie können alle Standard-Claims wie iss (Aussteller), sub (Betreff), aud (Zielgruppe), exp (Ablauf), iat (Ausstellungszeitpunkt) und nbf (nicht vor) einsehen, sowie alle benutzerdefinierten Claims, die vom Token-Aussteller hinzugefügt würden.

?Wie verwende ich diesen JWT-Decoder?

Fügen Sie einfach Ihren JWT-String (im Format header.payload.signature) in das Eingabefeld ein. Das Tool dekodiert und zeigt sofort sowohl den Header- als auch den Payload-Abschnitt in einem lesbaren Format an.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Dieses Tool bewerten

Tippen Sie auf einen Stern, um uns zu sagen, wie nützlich dieses Tool für Sie war.

Vorschlag machen oder Bug melden

Eine Funktion fehlt? Einen Bug gefunden? Haben Sie eine Idee? Sagen Sie es uns und wir schauen es uns an.

Ähnliche Tools

Visualisierer für abstrakte Syntaxbäume (AST)

Visualisieren Sie die Struktur Ihres JavaScript-Codes mit einen detaillierten AST-Baum.

Tool testen

Big Data Text Visualisierer

Visualisieren und durchsuchen Sie effizient extrem große Textdateien mithilfe von Pufferung und manuellem unendlichem Scrollen.

Tool testen

Vergleiche Big-O-Komplexitaetskurven

Visualisiere und vergleiche Big-O-Komplexitaetskurven von O(1) bis O(n!) auf einem interaktiven Diagramm.

Tool testen
Empfohlene Lektüre

Empfohlene Bücher über Web-Sicherheit und Authentifizierung

OAuth 2 in Action

OAuth 2 in Action

Justin Richer

The Web Application Hacker's Handbook

The Web Application Hacker's Handbook

Dafydd Stuttard

Identity and Data Security for Web Development

Identity and Data Security for Web Development

Jonathan LeBlanc

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Erweitern Sie Ihre Fähigkeiten

Professionelle Produkte für besseres Entwickeln

Q1 Pro Wireless Custom Mechanical Keyboard, QMK/VIA Programmable Full Aluminum 75% Layout Bluetooth/Wired RGB with Hot-swappable

Q1 Pro Wireless Custom Mechanical Keyboard, QMK/VIA Programmable Full Aluminum 75% Layout Bluetooth/Wired RGB with Hot-swappable

Keychron

27UP850K-W 27-inch Ultrafine 4K UHD (3840 x 2160) IPS Computer Monitor, 60Hz, 5ms, DisplayHDR 400, Built-in Speaker

27UP850K-W 27-inch Ultrafine 4K UHD (3840 x 2160) IPS Computer Monitor, 60Hz, 5ms, DisplayHDR 400, Built-in Speaker

LG

MX Master 3S - Wireless Performance Mouse with Ultra-Fast Scrolling, Ergo, 8K DPI, Track on Glass, Quiet Clicks, USB-C

MX Master 3S - Wireless Performance Mouse with Ultra-Fast Scrolling, Ergo, 8K DPI, Track on Glass, Quiet Clicks, USB-C

Logitech

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Newsletter

Erhalte Produktivitätstipps und Neue Tools Zuerst

Schließe dich Machern und Entwicklern an, die Datenschutz schätzen. Jede Ausgabe: neue Tools, Produktivitäts-Hacks und Updates — kein Spam.

Prioritätszugang zu neuen Tools
Jederzeit abbestellen, ohne Rückfragen