JWT-Decoder
Dekodiere ein JSON Web Token und lies Header und Payload — ohne Signaturprüfung.
Verwandte Tools
JWT-Decoder
Füge ein JSON Web Token ein und der Decoder zerlegt es an den Punkten, dekodiert Header und Payload aus Base64URL und formatiert beide als lesbares JSON. Damit debuggst du Login-Flows, prüfst Access- und ID-Tokens von OAuth- und OpenID-Connect-Anbietern, siehst nach, welche Claims dein Backend tatsächlich ausstellt, oder findest heraus, warum eine Anfrage ständig mit 401 zurückkommt.
Der häufigste Grund, ein Token zu öffnen, sind die Zeit-Claims. Mit aktivierter Datumsoption listet der Decoder exp (Ablauf), iat (Ausstellung) und nbf (gültig ab) zusätzlich als ISO-8601-Zeitstempel auf — so siehst du auf einen Blick, ob ein Token bereits abgelaufen ist oder noch nicht gilt. Die Bilanz unter der Ausgabe zeigt den Signaturalgorithmus aus dem Header und die Zahl der Claims im Payload.
Eines tut dieses Tool bewusst nicht: die Signatur prüfen. Dafür braucht es das Signatur-Secret oder den öffentlichen Schlüssel des Ausstellers — und ein Secret, das in eine Webseite eingefügt wird, ist ein verratenes Secret. Der Decoder zeigt den Inhalt des Tokens und markiert die Signatur immer als nicht geprüft. Behandle jedes dekodierte Token als unauthentifizierte Daten.
Die Dekodierung läuft vollständig in deinem Browser; das Token verlässt dein Gerät nie und nichts wird an einen Server geschickt. Gerade hier zählt das, denn selbst ein kurzlebiges Staging-Token gewährt Zugriff auf irgendetwas. Über mehrere Zeilen umbrochene Tokens und Werte mit Bearer-Präfix werden vor dem Dekodieren automatisch bereinigt.