TextArray
100% lokal

JWT-Decoder

Dekodiere ein JSON Web Token und lies Header und Payload — ohne Signaturprüfung.

Eingabe
Ausgabe

JWT-Decoder

Füge ein JSON Web Token ein und der Decoder zerlegt es an den Punkten, dekodiert Header und Payload aus Base64URL und formatiert beide als lesbares JSON. Damit debuggst du Login-Flows, prüfst Access- und ID-Tokens von OAuth- und OpenID-Connect-Anbietern, siehst nach, welche Claims dein Backend tatsächlich ausstellt, oder findest heraus, warum eine Anfrage ständig mit 401 zurückkommt.

Der häufigste Grund, ein Token zu öffnen, sind die Zeit-Claims. Mit aktivierter Datumsoption listet der Decoder exp (Ablauf), iat (Ausstellung) und nbf (gültig ab) zusätzlich als ISO-8601-Zeitstempel auf — so siehst du auf einen Blick, ob ein Token bereits abgelaufen ist oder noch nicht gilt. Die Bilanz unter der Ausgabe zeigt den Signaturalgorithmus aus dem Header und die Zahl der Claims im Payload.

Eines tut dieses Tool bewusst nicht: die Signatur prüfen. Dafür braucht es das Signatur-Secret oder den öffentlichen Schlüssel des Ausstellers — und ein Secret, das in eine Webseite eingefügt wird, ist ein verratenes Secret. Der Decoder zeigt den Inhalt des Tokens und markiert die Signatur immer als nicht geprüft. Behandle jedes dekodierte Token als unauthentifizierte Daten.

Die Dekodierung läuft vollständig in deinem Browser; das Token verlässt dein Gerät nie und nichts wird an einen Server geschickt. Gerade hier zählt das, denn selbst ein kurzlebiges Staging-Token gewährt Zugriff auf irgendetwas. Über mehrere Zeilen umbrochene Tokens und Werte mit Bearer-Präfix werden vor dem Dekodieren automatisch bereinigt.

Häufige Fragen

Prüft das Tool die Signatur?
Nein. Zur Prüfung braucht es das Signatur-Secret oder den öffentlichen Schlüssel des Ausstellers, und die gehören nie in eine Webseite. Der Decoder zeigt Header und Payload und markiert die Signatur immer als nicht geprüft.
Wird mein Token irgendwo hochgeladen?
Nein. Die Dekodierung läuft vollständig in deinem Browser und das Token verlässt dein Gerät nie. Für Screenshots nimm trotzdem besser abgelaufene oder Test-Tokens.
Warum sind exp und iat bloße Zahlen?
Zeit-Claims in JWTs sind Unix-Zeitstempel — Sekunden seit dem 1. Januar 1970 UTC. Lass die Datumsoption aktiviert und der Decoder gibt sie zusätzlich als ISO-8601-Daten aus.
Welche Tokens kann er dekodieren?
Kompakte JWS-Tokens mit zwei oder drei durch Punkte getrennten Teilen, einschließlich unsignierter alg-none-Tokens und Werten mit Bearer-Präfix. Verschlüsselte JWE-Tokens (fünf Teile) lassen sich ohne Schlüssel nicht dekodieren.