de

JWT dekodieren

Dekodiere ein JSON Web Token lokal im Browser in lesbares JSON - Header und Payload werden sichtbar, ganz ohne Upload.

Läuft lokal auf deinem Gerät ...

0%

Deine Dateien haben dein Gerät nie verlassen

    Wird meine Datei hochgeladen?

    Nein. Die Umwandlung läuft komplett in Deinem Browser - Deine Datei verlässt Dein Gerät nie. So ist das nachprüfbar

    Kein Upload100% lokal
    Inhalte bleiben bei dirkein Zugriff durch Dritte
    Server in DeutschlandDSGVO by Design
    Extern geprüftTLS A+ · Header A+

    Ein JSON Web Token (JWT, RFC 7519) ist ein kompaktes Token, das aus drei mit Punkten getrennten Teilen besteht: Header, Payload und Signatur. Header und Payload sind lediglich Base64URL-codiertes JSON (RFC 7515) - also kein Geheimnis, sondern nur eine transportsichere Schreibweise. Dieses Tool trennt die Teile, decodiert Header und Payload zurück und zeigt dir das enthaltene JSON sauber eingerückt an. So siehst du auf einen Blick, welcher Algorithmus angegeben ist und welche Angaben (Claims) das Token transportiert.

    Wichtig und ehrlich: Dieses Werkzeug DEKODIERT nur, es PRÜFT die Signatur nicht. Eine echte Prüfung braucht das Geheimnis oder den öffentlichen Schlüssel des Ausstellers, nach dem dieses Tool bewusst nie fragt - deine Schlüssel haben hier nichts zu suchen. Ein dekodiertes Token ist also noch kein vertrauenswürdiges Token: Der Inhalt kann beliebig manipuliert sein. Nutze die Ansicht zum Verstehen und Debuggen (Welche Claims? Wann läuft exp ab? Welcher iss?), niemals als Beweis der Echtheit. Den Signatur-Teil zeigt das Tool nur roh und unverändert an.

    Die gesamte Verarbeitung läuft vollständig lokal im Browser in reinem JavaScript - das Token wird nicht hochgeladen, nicht gespeichert und keine fremde Bibliothek von einem CDN nachgeladen. Das ist gerade bei Tokens entscheidend, denn ein Access- oder ID-Token gehört nicht in ein fremdes Online-Formular. Ist die Eingabe kein gültiges JWT, meldet das Tool das ehrlich (ungültiges Token), statt ein falsches Ergebnis zu erfinden. Das Ergebnis kannst du als JSON-Datei herunterladen.

    Technische Daten

    Technische Daten
    EingabeformateTexteingabe
    AusgabeformatJSON
    StapelverarbeitungNein
    VerarbeitungLokal im Browser (JavaScript)
    Datei-UploadKeiner

    In 3 Schritten

    1. JWT in das Textfeld einfügen.
    2. Auf Dekodieren klicken.
    3. Header und Payload als JSON lesen oder herunterladen.

    Grenzen: Reines Dekodieren ohne Signaturprüfung: Das Tool bestätigt NICHT, dass ein Token echt oder unverändert ist - dafür bräuchte es den Schlüssel des Ausstellers. Es prüft auch nicht, ob das Token abgelaufen ist; es zeigt nur die Claims. Verschlüsselte Tokens (JWE) werden nicht entschlüsselt. Header und Payload sind nur Base64URL, keine Verschlüsselung - lege also nie Geheimnisse in den Payload.

    Häufige Fragen

    Wird mein Token hochgeladen?

    Nein. Das Dekodieren läuft komplett lokal im Browser; das Token verlässt dein Gerät nie und wird nicht gespeichert.

    Prüft das Tool die Signatur?

    Nein. Es dekodiert nur Header und Payload. Eine Signaturprüfung braucht den Schlüssel des Ausstellers, nach dem dieses Tool bewusst nie fragt. Ein dekodiertes Token ist kein vertrauenswürdiges Token.

    Ist ein JWT verschlüsselt?

    In der Regel nicht. Header und Payload sind nur Base64URL-codiert, das jeder zurücklesen kann. Lege deshalb keine Geheimnisse in den Payload.

    Was bedeuten Claims wie exp, iat oder iss?

    Standard-Claims: iss ist der Aussteller, iat der Ausstellungszeitpunkt, exp die Ablaufzeit (als Unix-Zeit), sub das Subjekt. Das Tool zeigt sie unverändert; es wertet sie nicht aus.

    Was passiert bei einer ungültigen Eingabe?

    Ist die Eingabe kein gültiges JWT (falsche Teilezahl oder kaputtes Base64URL), meldet das Tool einen ehrlichen Fehler, statt ein falsches Ergebnis auszugeben.

    Passende Tools