Entwickler

JWT-Decoder

Fügen Sie einen JSON Web Token ein, um ihn in Header, Payload und Signatur zu unterteilen. Zeitstempel wie exp und iat werden in lesbare Daten formatiert, und die Anspruchstabelle zeigt jedes Feld auf einen Blick. Läuft vollständig in Ihrem Browser.

JWT-Token

Was ist ein JWT?

Ein JSON Web Token (JWT) ist eine kompakte, URL-sichere Möglichkeit, Claims zwischen zwei Parteien darzustellen. Es besteht aus drei base64url-kodierten Segmenten, die durch Punkte verbunden sind: einem Header, der den Signaturalgorithmus benennt, einem Payload, der die Claims trägt, und einer Signatur, die beweist, dass der Token von jemandem ausgestellt wurde, der den Signaturschlüssel besitzt. JWTs sind das Standardformat für OAuth 2.0-Zugriffstoken, OpenID Connect-ID-Token und die meisten zustandslosen Sitzungssysteme. Dieser Decoder teilt den Token auf und zeigt das rohe JSON für jedes Segment an — er überprüft nicht die Signatur, da dies den geheimen oder öffentlichen Schlüssel des Ausstellers erfordern würde.

So verwenden Sie den JWT-Decoder

1
Fügen Sie Ihr Token ein
Kopieren Sie ein JWT aus einem Authorization-Header, einem Debug-Log oder einer URL. Es sollte wie eyJ...eyJ...signature mit drei Segmenten aussehen.
2
Überprüfen Sie den Header und den Payload
Der Header zeigt den Algorithmus (alg) und den Token-Typ (typ). Der Payload listet jeden Claim auf — sub, iss, aud, exp, iat und alle benutzerdefinierten Felder.
3
Überprüfen Sie das Ablaufdatum auf einen Blick
Die Gültigkeitsbanner zeigen Ihnen sofort, ob das Token abgelaufen, aktiv oder noch nicht gültig (nbf) ist. Zeitangaben werden sowohl in UTC als auch in relativer Form angezeigt.
4
Einzelne Abschnitte kopieren
Verwenden Sie die Schaltfläche zum Kopieren im Header- oder Payload-Bereich, um sauberes JSON für Debugging, Teilen oder Einfügen in ein anderes Tool zu erhalten.

JWT-Anatomie

Ein JWT hat drei base64url-Segmente, die durch Punkte verbunden sind:
 
    header.payload.signature
 
Header  — JSON, das den Signaturalgorithmus beschreibt
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON, das die Ansprüche trägt
          { "sub": "1234", "exp": 1700000000 }
 
Signatur — HMAC oder RSA über header.payload, base64url-kodiert
 
Standard-Zeitansprüche (Sekunden seit Epoch):
  exp  = Ablaufzeit
  iat  = Ausgestellt am
  nbf  = nicht vor

Der Header und das Payload sind einfaches JSON, das jeder lesen kann — base64url ist Kodierung, keine Verschlüsselung. Die Signatur macht das Token vertrauenswürdig: Sie wird vom Aussteller mit einem geheimen Schlüssel (für HS*-Algorithmen) oder einem privaten Schlüssel (für RS*/ES*-Algorithmen) über die ersten beiden Segmente berechnet. Ein Server, der das Token erhält, berechnet die Signatur mit dem passenden geheimen oder öffentlichen Schlüssel neu und lehnt alles ab, was nicht übereinstimmt. Deshalb sollten Sie niemals sensible Daten wie Passwörter in ein Payload einfügen, und deshalb dekodiert dieses Tool nur — die Verifizierung erfordert den Schlüssel des Ausstellers.

Referenz: RFC 7519 — JSON Web Token (JWT)

Beispiele

Eingabe	Ausgabe
Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Minimaler Header für ein HMAC-SHA256-Token.
Payload mit exp-Anspruch	{ "sub": "1234", "exp": 1700000000 } exp ist Sekunden seit Epoch — 2023-11-14 in UTC.
Abgelaufenes Token	Token abgelaufen · Läuft ab am 2024-01-01 (vor 3 Monaten) Das Gültigkeitsbanner wird rot, wenn exp in der Vergangenheit liegt.
Fehlerhaftes Token (nur zwei Segmente)	Ungültiges Token: erwartete 3 Segmente, erhielt 2 Ein JWT muss genau drei durch Punkte getrennte base64url-Teile haben.

Häufige Anwendungsfälle

Debuggen eines OAuth-Zugriffstokens, um zu sehen, welche Scopes und Zielgruppen es trägt
Überprüfen, ob eine fehlgeschlagene Anfrage auf ein abgelaufenes Token zurückzuführen ist
Ein OpenID Connect ID-Token inspizieren, um Benutzeransprüche wie sub und E-Mail zu lesen
Ein Magic-Link- oder Passwortzurücksetz-Token dekodieren, um das signierte Payload zu bestätigen
Überprüfen, ob der richtige Aussteller (iss) und die richtige Zielgruppe (aud) auf einem Token gesetzt sind
Den kid-Header lesen, um herauszufinden, welcher Signaturschlüssel verwendet wurde
Zwei Tokens nebeneinander vergleichen, wenn Sie einen Sitzungsfehler untersuchen
Teamkollegen beibringen, wie JWTs strukturiert sind, ohne Code zu schreiben

Häufig gestellte Fragen

Überprüft dieses Tool die Signatur?

Nein. Die Überprüfung einer Signatur erfordert das Geheimnis des Ausstellers (für HMAC-Algorithmen) oder den öffentlichen Schlüssel (für RSA und ECDSA). Dieses Tool decodiert nur den Header und das Payload, damit Sie sie lesen können. Behandeln Sie jedes Token, das Sie hier decodieren, als nicht vertrauenswürdig, bis Ihr Backend die Signatur gegen den Schlüssel des Ausstellers validiert.

Ist es sicher, hier ein echtes JWT einzufügen?

Alles läuft in Ihrem Browser — das Token wird niemals hochgeladen, gespeichert oder protokolliert. Das gesagt, ein Zugriffstoken in Ihren Händen ist so mächtig wie ein Passwort: Wenn Ihr Browser Erweiterungen hat, die Seiteninhalte lesen, könnten sie es theoretisch sehen. Für paranoides Debugging verwenden Sie ein frisches privates Fenster oder decodieren Sie offline.

Warum wird die Signatur als Bytes und nicht als Text angezeigt?

Die Signatur ist ein rohes binäres Blob — typischerweise 32 Bytes für HS256, 256 Bytes für RS256. Sie ist im Token base64url-kodiert, aber die decodierte Form ist nicht menschenlesbar, daher gibt das Tool die Byteanzahl an, anstatt zu versuchen, verworrene Zeichen anzuzeigen.

Was ist der Unterschied zwischen exp, iat und nbf?

Das sind die drei standardmäßigen Zeitansprüche aus RFC 7519. exp ist die Ablaufzeit — nach diesem Moment ist das Token ungültig. iat ist die Ausstellungszeit — wann das Token erstellt wurde. nbf ist nicht vor — die früheste Zeit, zu der das Token verwendet werden kann. Alle drei werden in Sekunden seit der Unix-Epoche gemessen.

Meine Zeitstempel sehen völlig falsch aus — sind sie falsch?

JWTs verwenden Sekunden seit der Epoche, nicht Millisekunden. Dieses Tool erkennt die Einheit automatisch, indem es überprüft, ob der Wert über 10^12 liegt (als Millisekunden behandelt). Wenn Sie einen nicht standardmäßigen Anspruch haben, der einen Zeitstempel unter einem anderen Namen speichert, wird er als rohe Zahl und nicht als Datum angezeigt.

Warum schlägt das Decodieren mit "nicht gültiges base64url" fehl?

Das Segment enthält Zeichen außerhalb des base64url-Alphabets (A-Z a-z 0-9 - _) oder es fehlt Padding. Das Kopieren und Einfügen aus E-Mail-Clients oder Chat-Apps kann stillschweigend Leerzeichen oder intelligente Anführungszeichen einführen. Versuchen Sie, das Token aus einer frischen Quelle wie den Entwicklertools des Browsers zu kopieren.

Kann ich ein verschlüsseltes JWT (JWE) decodieren?

Nein. Dieses Tool decodiert signierte JWTs (JWS). Ein JWE-Token hat fünf Segmente anstelle von drei und sein Payload ist verschlüsselt, anstatt nur kodiert zu sein — Sie benötigen den privaten Schlüssel des Empfängers, um es zu lesen. Ein reguläres JWS-Token mit einem verschlüsselten Anspruch (wie die undurchsichtigen Tokens von Auth0) wird ebenfalls nicht in lesbares JSON decodiert.

Brauche ich die URL-sichere Base64-Option?

JWT-Segmente sind immer base64url-kodiert, daher behandelt das Tool dies automatisch — keine Option erforderlich. Wenn Sie beliebigen base64url-Text außerhalb eines JWT kodieren oder decodieren müssen, verwenden Sie den separaten Base64-Encoder mit aktiviertem URL-sicheren Kontrollkästchen.

Zuletzt aktualisiert 2026-04-21

Laden...

Was ist ein JWT?

So verwenden Sie den JWT-Decoder

Fügen Sie Ihr Token ein

Kopieren Sie ein JWT aus einem Authorization-Header, einem Debug-Log oder einer URL. Es sollte wie eyJ...eyJ...signature mit drei Segmenten aussehen.

Überprüfen Sie den Header und den Payload

Der Header zeigt den Algorithmus (alg) und den Token-Typ (typ). Der Payload listet jeden Claim auf — sub, iss, aud, exp, iat und alle benutzerdefinierten Felder.

Überprüfen Sie das Ablaufdatum auf einen Blick

Die Gültigkeitsbanner zeigen Ihnen sofort, ob das Token abgelaufen, aktiv oder noch nicht gültig (nbf) ist. Zeitangaben werden sowohl in UTC als auch in relativer Form angezeigt.

Einzelne Abschnitte kopieren

Verwenden Sie die Schaltfläche zum Kopieren im Header- oder Payload-Bereich, um sauberes JSON für Debugging, Teilen oder Einfügen in ein anderes Tool zu erhalten.

JWT-Anatomie

Ein JWT hat drei base64url-Segmente, die durch Punkte verbunden sind:
 
    header.payload.signature
 
Header  — JSON, das den Signaturalgorithmus beschreibt
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON, das die Ansprüche trägt
          { "sub": "1234", "exp": 1700000000 }
 
Signatur — HMAC oder RSA über header.payload, base64url-kodiert
 
Standard-Zeitansprüche (Sekunden seit Epoch):
  exp  = Ablaufzeit
  iat  = Ausgestellt am
  nbf  = nicht vor

Beispiele

Eingabe	Ausgabe
Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Minimaler Header für ein HMAC-SHA256-Token.
Payload mit exp-Anspruch	{ "sub": "1234", "exp": 1700000000 } exp ist Sekunden seit Epoch — 2023-11-14 in UTC.
Abgelaufenes Token	Token abgelaufen · Läuft ab am 2024-01-01 (vor 3 Monaten) Das Gültigkeitsbanner wird rot, wenn exp in der Vergangenheit liegt.
Fehlerhaftes Token (nur zwei Segmente)	Ungültiges Token: erwartete 3 Segmente, erhielt 2 Ein JWT muss genau drei durch Punkte getrennte base64url-Teile haben.

Häufige Anwendungsfälle

Debuggen eines OAuth-Zugriffstokens, um zu sehen, welche Scopes und Zielgruppen es trägt

Überprüfen, ob eine fehlgeschlagene Anfrage auf ein abgelaufenes Token zurückzuführen ist

Ein OpenID Connect ID-Token inspizieren, um Benutzeransprüche wie sub und E-Mail zu lesen

Ein Magic-Link- oder Passwortzurücksetz-Token dekodieren, um das signierte Payload zu bestätigen

Überprüfen, ob der richtige Aussteller (iss) und die richtige Zielgruppe (aud) auf einem Token gesetzt sind

Den kid-Header lesen, um herauszufinden, welcher Signaturschlüssel verwendet wurde

Zwei Tokens nebeneinander vergleichen, wenn Sie einen Sitzungsfehler untersuchen

Teamkollegen beibringen, wie JWTs strukturiert sind, ohne Code zu schreiben

Häufig gestellte Fragen

Überprüft dieses Tool die Signatur?

Ist es sicher, hier ein echtes JWT einzufügen?

Warum wird die Signatur als Bytes und nicht als Text angezeigt?

Was ist der Unterschied zwischen exp, iat und nbf?

Meine Zeitstempel sehen völlig falsch aus — sind sie falsch?

Warum schlägt das Decodieren mit "nicht gültiges base64url" fehl?

Kann ich ein verschlüsseltes JWT (JWE) decodieren?

Brauche ich die URL-sichere Base64-Option?

JWT-Decoder

Was ist ein JWT?

So verwenden Sie den JWT-Decoder

JWT-Anatomie

Beispiele

Häufige Anwendungsfälle

Verwandte Tools

Häufig gestellte Fragen

JWT-Decoder

Was ist ein JWT?

So verwenden Sie den JWT-Decoder

JWT-Anatomie

Beispiele

Häufige Anwendungsfälle

Verwandte Tools

Häufig gestellte Fragen