PixConvert

JWT-Decoder

Fügen Sie ein JWT-Token ein, um dessen Header, Payload und Signatur sofort zu dekodieren und zu untersuchen – alles direkt in Ihrem Browser.

JWT Token

Warum den PixConvert JWT-Decoder verwenden?

Tokenprüfung ohne Risiko. Ihre Token verlassen niemals Ihr Gerät.

Sofortige Dekodierung

Header und Payload werden beim Einfügen automatisch dekodiert. Kein Button erforderlich.

Null Netzwerkrisiko

Die JWT-Dekodierung ist reines clientseitiges Base64-URL-Parsing. Die Token verlassen niemals Ihren Browser.

Ablauferkennung

Erkennt automatisch exp-, iat- und nbf-Ansprüche und zeigt für Menschen lesbare Zeitstempel mit dem Status „abgelaufen/aktiv“ an.

Algorithmusanzeige

Zeigt den Signaturalgorithmus (RS256, HS256, ES384 usw.) aus dem Header an.

Formatiertes JSON

Die Nutzdaten werden als übersichtliches JSON-Format angezeigt, um das Lesen und Kopieren zu erleichtern.

Kopieransprüche

Kopieren Sie mit einem Klick die vollständige Payload-JSON-Datei, um sie in Test-Fixtures oder Debugging-Sitzungen einzufügen.

Wenn Sie einen JWT-Decoder benötigen

Das Debuggen von Authentifizierungsabläufen geht schneller, wenn man den Tokeninhalt sofort sehen kann.

API-Debugging

Untersuchen Sie die Bearer-Token in den Authorization-Headern, um zu verstehen, welche Ansprüche Ihre API empfängt.

  • Zugriffstoken dekodieren
  • Benutzerrollen und Berechtigungen prüfen
  • Ablaufzeiten prüfen

OAuth- und OIDC-Entwicklung

Dekodieren von ID-Tokens und Zugriffstokens während der OAuth 2.0- und OpenID Connect-Integration.

  • id_token-Ansprüche prüfen
  • Unter- und E-Mail-Felder überprüfen
  • Token-Ablauf und NBF prüfen

Sicherheitsprüfung

Überprüfen Sie den JWT-Algorithmus und die zugehörigen Ansprüche im Rahmen einer Sicherheitsbewertung – clientseitig, um eine Offenlegung der Token zu vermeiden.

  • Schwache Algorithmen erkennen (keine, HS256)
  • Anspruchsumfang prüfen
  • Token-Lebensdauer prüfen

Wie man ein JWT-Token dekodiert

1

Fügen Sie Ihr JWT-Token in das Eingabefeld ein. Der Decoder teilt es an den Punkten auf und dekodiert jeden Teil per Base64URL.

2

Header und Payload werden als formatiertes JSON angezeigt. Standard-Claims (exp, iat, sub) sind mit lesbaren Bezeichnungen hervorgehoben.

3

Prüfen Sie das Signatursegment und erkennen Sie abgelaufene Token auf einen Blick – die gesamte Dekodierung erfolgt lokal, niemals auf unseren Servern.

Weitere Tools entdecken

Entdecken Sie weitere kostenlose Tools, die hervorragend mit diesem Tool harmonieren.

utility

Base64-Encoder

Base64-Zeichenketten kodieren und dekodieren

Try it
utility

JSON-Formatter

JSON sofort formatieren, validieren und minimieren

Try it
utility

Hash-Generator

Generieren von MD5-, SHA-1- und SHA-256-Hashes

Try it
utility

URL-Encoder

URL-Komponenten kodieren und dekodieren

Try it
utility

Passwortgenerator

Generieren Sie starke, zufällige Passwörter

Try it
utility

UUID-Generator

v4 UUIDs und ULIDs generieren

Try it

Häufig gestellte Fragen

JWT-Dekodierung erklärt.

Kann ich hier bedenkenlos ein JWT-Token einfügen?

Header und Payload eines JWT sind Base64url-kodiert, nicht verschlüsselt – sie sind für jeden lesbar, der das Token besitzt. Die Dekodierung hier entspricht der Dekodierung in Ihrem eigenen Code. Der für die Signaturprüfung verwendete geheime Schlüssel wird niemals dekodiert oder benötigt. Behandeln Sie JWTs jedoch wie Passwörter – fügen Sie Produktionstoken niemals in nicht vertrauenswürdige Tools ein.

Wird damit die JWT-Signatur überprüft?

Nein. Zur Signaturprüfung wird der geheime Schlüssel (HMAC) oder der öffentliche Schlüssel (RSA/ECDSA) benötigt, den Sie niemals an Dritte weitergeben sollten. Dieser Decoder liest lediglich Header und Payload (die ersten beiden Segmente), die systembedingt öffentlich zugänglich sind.

Was ist der Kostenanspruch?

Der Ablaufzeitpunkt (exp) ist ein Unix-Zeitstempel (Sekunden seit der Unix-Epoche), nach dessen Ablauf das Token ungültig wird. Dieses Tool wandelt ihn in ein lesbares Datum um und zeigt an, ob das Token aktuell gültig oder abgelaufen ist.

Worin besteht der Unterschied zwischen access_token und id_token?

In OAuth 2.0/OIDC autorisiert der Zugriffstoken API-Aufrufe und ist entweder ein undurchsichtiges JWT. Der Identitätstoken ist immer ein JWT und enthält Identitätsansprüche (Abonnent, E-Mail-Adresse, Name). Beide können hier dekodiert werden.

Warum sieht die Signatur aus wie zufällige Zeichen?

Die Signatur ist ein kryptografischer Hash von Header und Payload, signiert mit dem geheimen oder privaten Schlüssel des Ausstellers. Es handelt sich um Binärdaten, kodiert als Base64URL – sie sind nicht für Menschen lesbar. Ihr Zweck ist die Verifizierung, nicht die Prüfung.