Monu Tools

JWT-Decoder

Dekodiere ein JSON Web Token und sieh Header und Payload, mit lesbaren Ablauf- und Ausstellungszeiten. Läuft vollständig im Browser; Tokens werden nie hochgeladen.

So nutzt du den JWT-Decoder

  1. 01

    Füge ein JWT in der Form header.payload.signature ein.

  2. 02

    Lies den dekodierten Header und Payload als formatiertes JSON.

  3. 03

    Prüfe Ablauf- und Ausstellungszeit und ob das Token abgelaufen ist.

Was ein JWT-Decoder dir zeigt

Ein JSON Web Token besteht aus drei Teilen, die durch Punkte getrennt sind: einem Base64URL-codierten Header, einer Base64URL-codierten Payload und einer Signatur. Dieser Decoder trennt und decodiert die ersten beiden Teile sofort in deinem Browser, damit du lesen kannst, was ein Token tatsaechlich enthaelt.

Am haeufigsten prueft man damit ein Token, das eine API zurueckgegeben hat: wer es ausgestellt hat (iss), wann es ablaeuft (exp), welche Berechtigungen es traegt (scope oder roles) und ob es bereits abgelaufen ist.

Wie das Decodieren funktioniert

Das Tool nimmt die Header- und Payload-Segmente und decodiert ihre Base64URL-Inhalte zurueck in lesbares JSON. Nichts wird irgendwohin gesendet: Das Trennen und Decodieren passiert lokal, sobald du ein Token einfuegst.

Ablauf und Zeitstempel lesen

Der Ablauf wird in lesbarer lokaler Zeit angezeigt, nicht als roher Unix-Zeitstempel, damit du auf einen Blick siehst, ob das Token noch gueltig ist. Dasselbe gilt fuer andere Zeit-Claims wie iat und nbf, die zu Datumsangaben werden, die du tatsaechlich interpretieren kannst.

Decodieren ist kein Verifizieren

Dieses Tool decodiert und zeigt an, es verifiziert die Signatur nicht gegen einen geheimen Schluessel. Jeder kann eine JWT-Payload ohne Schluessel lesen, denn nur die Signatur ist geschuetzt, nicht der Inhalt.

Fuer die Signaturpruefung brauchst du das Signaturgeheimnis oder den oeffentlichen Schluessel, und der sollte niemals in ein browserbasiertes Tool eingegeben werden. Fuege hier keine Geheimnisse ein.

Datenschutz

Das Token verlaesst dein Geraet nie. Das gesamte Decodieren laeuft in deinem Browser, sodass nichts, was du einfuegst, hochgeladen oder gespeichert wird.

Häufig gestellte Fragen

Prüft es die Signatur?

Nein. Es dekodiert und zeigt Header und Payload. Die Signaturprüfung braucht das Signiergeheimnis oder den öffentlichen Schlüssel, den du in kein Web-Tool eingeben solltest.

Was ist der Unterschied zwischen Dekodieren und Prüfen?

Dekodieren liest den Base64url-Header und die Payload, die nicht verschlüsselt sind. Prüfen berechnet die Signatur mit dem Schlüssel neu, um zu belegen, dass das Token echt und unverändert ist.

Ist es sicher, mein Token hier einzufügen?

Das Dekodieren passiert komplett im Browser, das Token wird nicht hochgeladen. Behandle aktive Tokens dennoch als Geheimnisse und füge sie nicht auf gemeinsam genutzten Computern ein.

Was bedeuten exp, iat und nbf?

Es sind Standard-Claims: iat ist der Ausstellungszeitpunkt, nbf nicht-gültig-vor und exp die Ablaufzeit. Der Decoder wandelt diese Unix-Zeitstempel in lesbare lokale Zeit um.

Kann ich ein abgelaufenes Token dekodieren?

Ja. Der Ablauf ändert das Dekodieren nicht, du kannst also die Claims eines abgelaufenen Tokens ansehen und genau sehen, wann es ungültig wurde.

Warum ist meine Payload ohne Schlüssel lesbar?

Ein JWT ist signiert, nicht verschlüsselt. Die Payload ist nur Base64url-kodiert, also für jeden lesbar. Lege niemals Geheimnisse in eine JWT-Payload.

Quellen

Dieses Tool einbetten

Füge dieses Tool zu deiner eigenen Website hinzu. Kopiere den Code unten. Er bleibt automatisch aktuell.

<iframe src="https://monu.tools/embed/de/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Verwandte Tools