JWT Decoder
Prüfen Sie ein Token, bevor Sie den falschen Auth-Bug verfolgen. Dekodieren Sie Header, Claims, Algorithmus, Signatur und Ablaufstatus.
Kodiertes Token
Dekodierte Ausgabe
Was ist ein JWT?
Ein JSON Web Token ist ein kompaktes Format, um Claims zwischen Systemen zu übertragen. Beim täglichen Debugging zählen meistens einfache Fragen: Wer hat das Token ausgestellt, für wen ist es gedacht, welche Berechtigungen behauptet es, welcher Algorithmus signiert es und ist es bereits abgelaufen?
Header
Zeigt Token-Metadaten wie typ, alg und manchmal kid, das auf den vom Aussteller verwendeten Schlüssel verweist.
Payload
Enthält Claims wie sub, iss, aud, exp, iat, Rollen, Tenant-IDs oder anwendungsspezifische Berechtigungsdaten.
Signatur
Schützt das Token vor Manipulation, wenn der Server es mit dem erwarteten Secret oder öffentlichen Schlüssel verifiziert.
Ablauf
Der exp-Claim ist oft der schnellste Hinweis beim Auth-Debugging. Ein formal korrektes Token ist nutzlos, wenn es außerhalb seines Gültigkeitsfensters liegt.
JWT FAQ
Sind JWTs verschlüsselt?
Normalerweise nicht. Standard-JWTs sind kodiert, nicht verschlüsselt. Wer das Token besitzt, kann Header und Payload lesen. Die Signatur schützt nur die Integrität.
Beweist das Dekodieren, dass ein JWT vertrauenswürdig ist?
Nein. Dekodieren zeigt nur den Inhalt. Vertrauen entsteht erst durch Signaturprüfung mit dem erwarteten Secret oder öffentlichen Schlüssel sowie Prüfungen von Aussteller, Audience, Ablauf und Anwendungsregeln.
Was passiert, wenn ein Token abläuft?
Liegt der exp-Claim in der Vergangenheit, sollte der Server das Token ablehnen. Der Client muss sich neu authentifizieren oder über den korrekten Refresh-Flow ein neues Access Token anfordern.
Sollte ich Produktions-Tokens in einen Decoder einfügen?
Behandeln Sie Live-Tokens wie Zugangsdaten. Nutzen Sie möglichst kurzlebige Test-Tokens und vermeiden Sie, sensible Production Access Tokens in Tools einzufügen, die Sie nicht kontrollieren.