JWT-Dekodierer

Referenz

JSON Web Tokens (JWT)

Ein JWT (JSON Web Token) ist ein kompaktes, URL-sicheres Token-Format, das in RFC 7519 definiert ist. Er besteht aus drei base64url-kodierten Teilen, die durch Punkte getrennt sind: header.payload.signature. JWTs werden häufig zur Authentifizierung und zum Informationsaustausch verwendet.

Struktur

Header — ein JSON-Objekt mit dem Token-Typ (typ) und dem Signaturalgorithmus (alg), z. B. HS256 oder RS256. Payload — ein JSON-Objekt mit Claims: registrierte Claims wie iss (Aussteller), sub (Subjekt), exp (Ablaufzeit), iat (ausgestellt am); und benutzerdefinierte Claims. Signatur — das Ergebnis der Signierung des kodierten Headers und Payloads mit einem geheimen oder privaten Schlüssel. Sie stellt sicher, dass der Token nicht manipuliert wurde.

⚠ Sicherheitshinweis

Dekodieren ist nicht dasselbe wie Verifizieren. Dieses Tool dekodiert den Token und zeigt seinen Inhalt an, verifiziert aber nicht die Signatur. Jeder kann einen JWT mit beliebigen Claims erstellen. Vertraue JWT-Claims niemals ohne serverseitige Signaturverifizierung mit dem entsprechenden geheimen oder öffentlichen Schlüssel. Verwende in Produktion eine Bibliothek wie jsonwebtoken (Node.js) oder PyJWT (Python).

Registrierte JWT-Claims

RFC 7519 definiert sieben registrierte Claims: iss (issuer) — wer den Token erstellt hat. sub (subject) — der Benutzer oder die Entität, die der Token repräsentiert. aud (audience) — der/die vorgesehene(n) Empfänger. exp (expiration time) — Unix-Zeitstempel, nach dem der Token ungültig ist. nbf (not before) — der Token ist vor diesem Zeitpunkt nicht gültig. iat (issued at) — wann der Token erstellt wurde. jti (JWT ID) — eine eindeutige Kennung zur Verhinderung von Replay-Angriffen.

Datenschutz

Alle Dekodierung läuft 100% in deinem Browser. Es werden keine Daten an einen Server gesendet.