Es entsteht keine Auftragsverarbeitung deiner Datei-Inhalte. Du brauchst keinen AVV mit gottrix, um vertrauliche oder geschäftliche Dokumente zu verarbeiten.
Server in DeutschlandDSGVO by Design
Origin-Server bei Hetzner in Deutschland. Da deine Dateien das Gerät nicht verlassen, werden ihre Inhalte gar nicht übertragen.
Ein JSON Web Token (JWT, RFC 7519) ist ein kompaktes Token, das aus drei mit Punkten getrennten Teilen besteht: Header, Payload und Signatur. Header und Payload sind lediglich Base64URL-codiertes JSON (RFC 7515) - also kein Geheimnis, sondern nur eine transportsichere Schreibweise. Dieses Tool trennt die Teile, decodiert Header und Payload zurück und zeigt dir das enthaltene JSON sauber eingerückt an. So siehst du auf einen Blick, welcher Algorithmus angegeben ist und welche Angaben (Claims) das Token transportiert.
Wichtig und ehrlich: Dieses Werkzeug DEKODIERT nur, es PRÜFT die Signatur nicht. Eine echte Prüfung braucht das Geheimnis oder den öffentlichen Schlüssel des Ausstellers, nach dem dieses Tool bewusst nie fragt - deine Schlüssel haben hier nichts zu suchen. Ein dekodiertes Token ist also noch kein vertrauenswürdiges Token: Der Inhalt kann beliebig manipuliert sein. Nutze die Ansicht zum Verstehen und Debuggen (Welche Claims? Wann läuft exp ab? Welcher iss?), niemals als Beweis der Echtheit. Den Signatur-Teil zeigt das Tool nur roh und unverändert an.
Die gesamte Verarbeitung läuft vollständig lokal im Browser in reinem JavaScript - das Token wird nicht hochgeladen, nicht gespeichert und keine fremde Bibliothek von einem CDN nachgeladen. Das ist gerade bei Tokens entscheidend, denn ein Access- oder ID-Token gehört nicht in ein fremdes Online-Formular. Ist die Eingabe kein gültiges JWT, meldet das Tool das ehrlich (ungültiges Token), statt ein falsches Ergebnis zu erfinden. Das Ergebnis kannst du als JSON-Datei herunterladen.
Technische Daten
Technische Daten
Eingabeformate
Texteingabe
Ausgabeformat
JSON
Stapelverarbeitung
Nein
Verarbeitung
Lokal im Browser (JavaScript)
Datei-Upload
Keiner
In 3 Schritten
JWT in das Textfeld einfügen.
Auf Dekodieren klicken.
Header und Payload als JSON lesen oder herunterladen.
Grenzen:Reines Dekodieren ohne Signaturprüfung: Das Tool bestätigt NICHT, dass ein Token echt oder unverändert ist - dafür bräuchte es den Schlüssel des Ausstellers. Es prüft auch nicht, ob das Token abgelaufen ist; es zeigt nur die Claims. Verschlüsselte Tokens (JWE) werden nicht entschlüsselt. Header und Payload sind nur Base64URL, keine Verschlüsselung - lege also nie Geheimnisse in den Payload.
Häufige Fragen
Wird mein Token hochgeladen?
Nein. Das Dekodieren läuft komplett lokal im Browser; das Token verlässt dein Gerät nie und wird nicht gespeichert.
Prüft das Tool die Signatur?
Nein. Es dekodiert nur Header und Payload. Eine Signaturprüfung braucht den Schlüssel des Ausstellers, nach dem dieses Tool bewusst nie fragt. Ein dekodiertes Token ist kein vertrauenswürdiges Token.
Ist ein JWT verschlüsselt?
In der Regel nicht. Header und Payload sind nur Base64URL-codiert, das jeder zurücklesen kann. Lege deshalb keine Geheimnisse in den Payload.
Was bedeuten Claims wie exp, iat oder iss?
Standard-Claims: iss ist der Aussteller, iat der Ausstellungszeitpunkt, exp die Ablaufzeit (als Unix-Zeit), sub das Subjekt. Das Tool zeigt sie unverändert; es wertet sie nicht aus.
Was passiert bei einer ungültigen Eingabe?
Ist die Eingabe kein gültiges JWT (falsche Teilezahl oder kaputtes Base64URL), meldet das Tool einen ehrlichen Fehler, statt ein falsches Ergebnis auszugeben.
Nur mit deiner Zustimmung messen wir mit Cookies anonymisiert die Nutzung, um gottrix zu verbessern. Deine Dateien bleiben immer lokal auf deinem Gerät. Datenschutz