🎫 JWT-Decoder

JSON Web Tokens (JWT) decodieren, um Header, Payload und Signatur zu überprüfen – vollständig im Browser.

Was ist ein JSON Web Token (JWT)?

JWT ist ein kompaktes, URL-sicheres Mittel zur Darstellung von Ansprüchen, die zwischen zwei Parteien übertragen werden. Die Anforderungen in einem JWT sind als JSON-Objekt codiert, das als Payload einer JSON Web Signature (JWS) verwendet wird.

JWT-Struktur

  • Header: Enthält den Signaturalgorithmus (z. B. HS256, RS256) und den Token-Typ. Contains the signing algorithm (e.g., HS256, RS256) and token type.
  • Payload: Enthält Ansprüche – Aussagen über den Benutzer und zusätzliche Metadaten. Contains claims — statements about the user and additional metadata.
  • Signatur: Verifiziert, dass das Token nicht manipuliert wurde. Verifies the token hasn't been tampered with. Created using the header, payload, and a secret key.

Häufig gestellte Fragen

Ist es sicher, ein JWT hier zu decodieren?

Ja! Dieses Tool wird vollständig in Ihrem Browser ausgeführt. Ihr Token wird niemals an einen Server gesendet. Sie können dies im Netzwerk-Tab Ihres Browsers überprüfen.

Was bedeutet der Token-Ablauf?

Die Angabe 'exp' in einem JWT gibt an, wann das Token abläuft. Nach dieser Zeit sollte das Token vom Server abgelehnt werden.

Decodes JSON Web Tokens showing header, payload, and signature without requiring the secret key, for debugging auth flows.

Key Facts

  • Standardized in RFC 7519 (2015)
  • 80%+ of modern APIs use JWT
  • Three parts separated by dots (.)
  • Common algorithms: HS256, RS256

Frequently Asked Questions

What is a JWT?

Compact, URL-safe token with header (algorithm), payload (claims), and signature for API authentication.

Is decoding JWT safe?

Yes — payload is base64-encoded, not encrypted. Security is in signature verification, not content hiding.

What are JWT claims?

Statements about user: iss (issuer), sub (subject), exp (expiration), iat (issued at), aud (audience).

How long should JWT last?

Access tokens: 15-30 min. Refresh tokens: 7-30 days. Short-lived limits damage if compromised.

Verwandte Entwickler-Tools

📋 JSON-Formatierer und -Validator 🔐 Hash-Generator 📦 Base64-Encoder/Decoder 🔗 URL-Encoder/Decoder