Drücke / zum Suchen

JWT-Decoder

Decodiere JWT-Header und -Payloads lokal in deinem Browser. Prüfe Claims, Ablauf, Aussteller und Zeitstempel, ohne Tokens irgendwohin zu senden.

🔒 Keine Netzwerkanfragen. Tokens verlassen deinen Browser nie.

Du hast gerade JWT-Decoder getestet — Probiere als Nächstes JSON-Formatter & -Validator →

Was ist ein JWT-Decoder?

Ein JSON Web Token (RFC 7519) besteht aus drei durch Punkte getrennten Base64URL-kodierten Segmenten: header.payload.signature. Der Header deklariert den Signaturalgorithmus (alg: HS256, RS256, ES256 usw.) und den Token-Typ. Die Payload enthält Claims — Registrierte (iss, sub, aud, exp, iat, nbf, jti gemäß RFC 7519 §4.1), Öffentliche (von IANA registrierte Namen wie email, name) und Private (alle benutzerdefinierten Felder, die Ihre App definiert). Die Signatur ist HMAC oder RSA/ECDSA über die verkettete header.payload-Zeichenkette mit einem Schlüssel, den der Verifizierer kennt. Dieser Decoder liest Header und Payload lokal — er verifiziiert die Signatur nicht, da die Verifizierung einen Geheimcode oder Public Key erfordert, und das Einfügen eines dieser Codes in ein Web-Tool würde dem Zweck zuwiderlaufen. Dekodieren ≠ Verifizieren: Ein scheinbar gültiger JWT kann eine gefälschte Signatur, einen abgelaufenen exp oder einen alg: none-Header haben, den einige fahrlässige Bibliotheken akzeptieren (die alg: none-Sicherheitslücke von 2015 taucht immer noch in Audits auf). Verwenden Sie diesen Decoder zur Inspektion während der Integrationsentwicklung, nie als Gate vor der Autorisierung einer Anfrage.

So nutzt du den JWT-Decoder

Fügen Sie das vollständige Token (drei durch Punkte getrennte Segmente) in die Eingabe ein. Das Tool teilt bei den Punkten auf, dekodiert jedes Segment Base64URL und renderiert Header und Payload als formatiertes JSON. Numerische Claims wie iat, nbf und exp (Unix-Sekunden seit 1970) werden in ISO-8601-Datumsangaben zusammen mit dem Rohwert konvertiert. Das Statusbanner meldet abgelaufen (now > exp), noch nicht gültig (now < nbf) oder aktiv. Wenn die Dekodierung fehlschlägt, zeigt der Fehler, welches Segment fehlerhaft ist — normalerweise ein beim Kopieren-Einfügen gekürzter Token, eine Base64URL-Zeichenkette mit fehlenden Zeichen oder versehentliches Einfügen einer nicht-transparenten Session-ID statt eines JWT. Verwenden Sie Kopieren, um das JSON eines beliebigen Segments zur weiteren Inspektion in jq, Postman oder Ihrer IDE zu erhalten. Das Signatur-Segment wird roh angezeigt — die Verifizierung ist bewusst außer Reichweite.

Warum JWT-Inspektion wichtig ist

Wenn die Authentifizierung fehlschlägt, ist der erste Inspektionsschritt immer das Token: Welche Claims sind vorhanden, ist es abgelaufen, stimmt aud mit der erwarteten API überein, stammt iss vom richtigen Autorisierungsserver, hat der Client den richtigen scope angefordert? Ohne lokalen Decoder fügen Entwickler Produktions-Token in zufällige Online-Seiten ein — jedes Einfügen ist ein mögliches Credential-Leck für jeden, der die Logs, Analysen oder das Backend dieser Seite besitzt. Lokale Base64URL-Dekodierung stoppt das Leck. Über das Debugging hinaus ist JWT-Kompetenz für Sicherheitsüberprüfungen wichtig: Ein alg: none-Token erkennen, bemerken, dass exp Jahre in der Zukunft liegt, oder einen unerwarteten Role-Claim in der Payload erfassen dauert mit einem Decoder Sekunden und ohne Minuten. JWTs sind Bearer-Token — Besitz ist Autorisierung. Sie während der Inspektion mit Sorgfalt zu behandeln ist dieselbe Hygiene wie bei der Behandlung von Produktionsdatenbank-Anmeldedaten mit Vorsicht.

Häufig gestellte Fragen

Verifiziert dies die JWT-Signatur?

Nein. Diese Seite decodiert nur Header und Payload lokal. Sie validiert keine Signaturen und vertraut dem Token nicht.

Warum dies anstelle von jwt.io verwenden?

TeaFun setzt auf datenschutzfreundliche Decodierung. Dein Token bleibt in deinem Browser und wird nie zur Verarbeitung hochgeladen.

Welche Zeitstempel werden angezeigt?

Sofern vorhanden, werden exp, iat und nbf von Unix-Zeitstempeln in lesbare ISO-Daten umgewandelt.

Diese Sammlungen bündeln die Folge-Tools und Guides, die oft zum selben Job gehören.

Daten-Workflows für Entwickler

Formatiere, prüfe, konvertiere und validiere JSON, YAML, env, JWT, Header und Logs direkt im Browser.

Sammlung öffnen →

Gleiche Tags durchsuchen

Springe zu anderen Tools mit demselben Ablauf, Format oder Anwendungsfall.

Daten 8Texte 8Sicherheit 3

Hilfreiche nächste Tools basierend auf deinem aktuellen Schritt.

JSON-Formatter & -Validator

Formatiere, validiere und minimiere JSON sofort in deinem Browser. Keine Netzwerkanfragen — deine Daten verlassen dein Gerät nie.

Daten Formatierung Texte

Base64-Encoder / -Decoder

Kodiere und dekodiere Base64 lokal in deinem Browser. Unterstützt Textkonvertierung, URL-sicheres Base64 und Datei-zu-Base64-Export.

Daten Umwandlung Sicherheit

HTTP-Security-Headers-Checker

Füge rohe Response-Header oder curl -I-Ausgabe ein, um gängige Security-Header lokal zu prüfen, darunter CSP, HSTS und COOP.

Daten Sicherheit