Dekodiere ein JSON Web Token und sieh Header und Payload, mit lesbaren Ablauf- und Ausstellungszeiten. Läuft vollständig im Browser; Tokens werden nie hochgeladen.
So nutzt du den JWT-Decoder
Füge ein JWT in der Form header.payload.signature ein.
Lies den dekodierten Header und Payload als formatiertes JSON.
Prüfe Ablauf- und Ausstellungszeit und ob das Token abgelaufen ist.
Ein JSON Web Token besteht aus drei Teilen, die durch Punkte getrennt sind: einem Base64URL-codierten Header, einer Base64URL-codierten Payload und einer Signatur. Dieser Decoder trennt und decodiert die ersten beiden Teile sofort in deinem Browser, damit du lesen kannst, was ein Token tatsaechlich enthaelt.
Am haeufigsten prueft man damit ein Token, das eine API zurueckgegeben hat: wer es ausgestellt hat (iss), wann es ablaeuft (exp), welche Berechtigungen es traegt (scope oder roles) und ob es bereits abgelaufen ist.
Das Tool nimmt die Header- und Payload-Segmente und decodiert ihre Base64URL-Inhalte zurueck in lesbares JSON. Nichts wird irgendwohin gesendet: Das Trennen und Decodieren passiert lokal, sobald du ein Token einfuegst.
Der Ablauf wird in lesbarer lokaler Zeit angezeigt, nicht als roher Unix-Zeitstempel, damit du auf einen Blick siehst, ob das Token noch gueltig ist. Dasselbe gilt fuer andere Zeit-Claims wie iat und nbf, die zu Datumsangaben werden, die du tatsaechlich interpretieren kannst.
Dieses Tool decodiert und zeigt an, es verifiziert die Signatur nicht gegen einen geheimen Schluessel. Jeder kann eine JWT-Payload ohne Schluessel lesen, denn nur die Signatur ist geschuetzt, nicht der Inhalt.
Fuer die Signaturpruefung brauchst du das Signaturgeheimnis oder den oeffentlichen Schluessel, und der sollte niemals in ein browserbasiertes Tool eingegeben werden. Fuege hier keine Geheimnisse ein.
Das Token verlaesst dein Geraet nie. Das gesamte Decodieren laeuft in deinem Browser, sodass nichts, was du einfuegst, hochgeladen oder gespeichert wird.
Häufig gestellte Fragen
Nein. Es dekodiert und zeigt Header und Payload. Die Signaturprüfung braucht das Signiergeheimnis oder den öffentlichen Schlüssel, den du in kein Web-Tool eingeben solltest.
Dekodieren liest den Base64url-Header und die Payload, die nicht verschlüsselt sind. Prüfen berechnet die Signatur mit dem Schlüssel neu, um zu belegen, dass das Token echt und unverändert ist.
Das Dekodieren passiert komplett im Browser, das Token wird nicht hochgeladen. Behandle aktive Tokens dennoch als Geheimnisse und füge sie nicht auf gemeinsam genutzten Computern ein.
Es sind Standard-Claims: iat ist der Ausstellungszeitpunkt, nbf nicht-gültig-vor und exp die Ablaufzeit. Der Decoder wandelt diese Unix-Zeitstempel in lesbare lokale Zeit um.
Ja. Der Ablauf ändert das Dekodieren nicht, du kannst also die Claims eines abgelaufenen Tokens ansehen und genau sehen, wann es ungültig wurde.
Ein JWT ist signiert, nicht verschlüsselt. Die Payload ist nur Base64url-kodiert, also für jeden lesbar. Lege niemals Geheimnisse in eine JWT-Payload.
Dieses Tool einbetten
Füge dieses Tool zu deiner eigenen Website hinzu. Kopiere den Code unten. Er bleibt automatisch aktuell.
<iframe src="https://monu.tools/embed/de/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Verwandte Tools
Kodiere Text zu Base64 oder dekodiere Base64 zurück zu Text. UTF-8-sicher mit automatischer Richtungserkennung.
Prozent-kodiere und dekodiere URLs und URL-Komponenten, UTF-8-sicher.
Erzeuge SHA-1-, SHA-256-, SHA-384- und SHA-512-Hashes von beliebigem Text – direkt im Browser.
Erzeuge einen HMAC für eine Nachricht und einen geheimen Schlüssel mit SHA-1, SHA-256, SHA-384 oder SHA-512, im Browser.