JWT-Decoder
Fügen Sie ein JSON Web Token ein, um Header und Payload als formatiertes JSON zu lesen. Zeitstempel-Claims werden als lesbare UTC-Daten angezeigt. Die Dekodierung erfolgt in Ihrem Browser.
Zeitstempel-Claims (UTC)
- iat
- 2018-01-18T01:30:22.000Z
So funktioniert's
Fügen Sie ein JSON Web Token in das Feld ein. Ein JWT besteht aus drei durch Punkte getrennten base64url-Segmenten — Header, Payload und Signatur, in dieser Reihenfolge. Das Tool trennt das Token an den Punkten und dekodiert die ersten beiden Segmente per base64url in lesbares, formatiertes JSON, sodass Sie sie nebeneinander betrachten können. Der Header beschreibt, wie das Token erzeugt wurde: den Signaturalgorithmus, etwa HS256 oder RS256, sowie den Tokentyp. Die Payload enthält die Claims — die eigentlichen Aussagen, die das Token trifft. Ein Token für einen angemeldeten Benutzer nennt in der Regel ein Subject (auf wen sich das Token bezieht), einen Issuer (wer es ausgestellt hat) und einen Ablaufzeitpunkt, zusätzlich zu allen benutzerdefinierten Claims, die die Anwendung hinzugefügt hat. Zeitstempel-Claims werden am häufigsten falsch gelesen. Die Standard-Zeit-Claims — iat (issued at), exp (expires) und nbf (not before) — werden als Sekunden seit der Unix epoch gespeichert, was auf den ersten Blick unlesbar ist. Das Tool wandelt jeden davon in ein formatiertes UTC-Datum um, sodass Sie sofort erkennen, ob ein Token bereits abgelaufen oder noch nicht gültig ist. Dekodierung ist keine Verifizierung, und dieser Unterschied ist entscheidend. Jeder, der ein JWT besitzt, kann dessen Header und Payload lesen, da diese Teile nur kodiert, nicht verschlüsselt sind. Nur die Signatur — geprüft gegen den Signaturschlüssel — beweist, dass das Token authentisch und unverändert ist. Dieses Tool liest bewusst nur; vertrauen Sie den Claims eines dekodierten Tokens niemals für eine sicherheitsrelevante Entscheidung, ohne die Signatur auf Ihrem Server zu verifizieren. Alles läuft vollständig in Ihrem Browser, sodass das eingefügte Token niemals hochgeladen wird. Das macht den Decoder sicher für die alltäglichen Aufgaben, für die er gedacht ist: das Debuggen eines Authentifizierungsablaufs, die Prüfung, warum eine Sitzung abgelehnt wurde, oder die Kontrolle, welche Claims Ihr Identity-Provider genau ausstellt.
Häufig gestellte Fragen
- Wird die Signatur verifiziert?
- Nein. Es dekodiert nur Header und Payload, damit Sie sie lesen können. Die Verifizierung eines JWT erfordert das Signaturgeheimnis oder den öffentlichen Schlüssel, nach denen dieses Tool niemals fragt. Betrachten Sie ein dekodiertes Token nicht als authentifiziert.
- Was bedeuten exp, iat und nbf?
- Das sind Standard-Zeit-Claims in Sekunden seit der Unix epoch: iat (issued at), nbf (not before) und exp (expires). Dieses Tool wandelt sie für Sie in UTC-Daten um.
- Wird mein Token irgendwohin gesendet?
- Nein. Die Dekodierung läuft vollständig in Ihrem Browser; das Token wird niemals hochgeladen. Vermeiden Sie es dennoch, Produktions-Token in irgendein Online-Tool einzufügen.
- Warum kann ich die Payload ohne Passwort lesen?
- Weil ein JWT kodiert, aber nicht verschlüsselt ist. Header und Payload sind nur base64url-kodiert — ein umkehrbares Format, das jeder dekodieren kann —, sodass ihr Inhalt ohne jeden Schlüssel vollständig lesbar ist. Die Signatur ist die Sicherheitsebene: Sie verbirgt die Daten nicht, sondern beweist, dass die Daten nicht verändert wurden. Legen Sie deshalb niemals Geheimnisse in eine JWT-Payload; behandeln Sie alles darin als öffentlich.