100% client-side — kein Server-Upload

>_ JWT dekodieren, verifizieren & erstellen

Dekodiere und validiere JSON Web Tokens direkt im Browser. HMAC, RSA und ECDSA Signaturpruefung. Kostenlos, ohne Anmeldung.

100% Browser-basiert
Kein Server-Upload
Sofort dekodieren
Kostenlos & ohne Login

Bearer-Prefix wird automatisch entfernt.

Token links einfügen, um das Ergebnis hier zu sehen.

Was ist ein JWT Token und wie funktioniert die Dekodierung?

Ein JSON Web Token (JWT) ist ein kompakter, URL-sicherer Standard (RFC 7519) zur sicheren Übertragung von Informationen zwischen zwei Parteien. JWTs bestehen aus drei Base64URL-kodierten Teilen: dem Header (Algorithmus und Token-Typ), dem Payload (Claims wie Nutzer-ID, Ablaufzeit, Berechtigungen) und der Signatur (kryptografischer Beweis der Integrität). Unser JWT Decoder zerlegt das Token in diese drei Teile und zeigt dir Header und Payload als lesbares JSON, die Standard-Claims mit Beschreibungen und alle Zeitstempel in menschenlesbarem Format.

Wann solltest du einen JWT Decoder verwenden? Beim Debugging von Authentifizierungsflows (OAuth 2.0, OpenID Connect), bei der Analyse von API-Responses, beim Überprüfen von Token-Ablaufzeiten oder beim Verifizieren der enthaltenen Claims. Entwickler nutzen JWT Decoder täglich, um Bearer Tokens aus HTTP-Headern zu inspizieren, Berechtigungsprobleme zu diagnostizieren und die Signatur mit dem Secret zu verifizieren.

Sicherheitshinweis: Dieser JWT Decoder arbeitet 100% im Browser – dein Token wird niemals an einen Server gesendet. Die Dekodierung und optionale Signaturpruefung erfolgen vollstaendig client-side ueber die Web Crypto API. Trotzdem solltest du Produktions-Tokens mit sensiblen Daten nur auf vertrauenswuerdigen Geraeten dekodieren und Secrets niemals in unsichere Umgebungen eingeben.

JWT Encoder – Tokens erstellen und signieren

Neben der Dekodierung bietet unser Tool auch einen JWT Encoder. Erstelle eigene JSON Web Tokens: Bearbeite Header und Payload als JSON, waehle den gewuenschten Algorithmus und gib dein Secret ein. Das signierte JWT wird live generiert und kann mit einem Klick kopiert werden. Ideal zum Erstellen von Test-Tokens fuer API-Entwicklung und Debugging.

RSA und ECDSA Signaturpruefung

Unser JWT Decoder unterstuetzt jetzt auch die Verifikation von RSA-signierten Tokens (RS256, RS384, RS512) und ECDSA-signierten Tokens (ES256, ES384, ES512). Gib einfach den oeffentlichen Schluessel im PEM-Format ein – die Pruefung erfolgt vollstaendig im Browser ueber die Web Crypto API. Kein Server-Upload, kein Risiko.

Häufige Fragen

Was ist ein JWT Decoder und wofür brauche ich ihn?

Ein JWT Decoder zerlegt ein JSON Web Token in seine drei Bestandteile: Header, Payload und Signatur. Du siehst sofort den Algorithmus, alle Claims (Nutzer-ID, Berechtigungen, Ablaufzeit) und kannst die Signatur verifizieren. Unverzichtbar beim Debugging von OAuth-Flows, API-Authentifizierung und Berechtigungsproblemen.

Ist es sicher, meinen JWT Token online zu dekodieren?

Ja, bei unserem Tool zu 100%. Die Dekodierung erfolgt vollständig in deinem Browser – kein Token wird an einen Server gesendet. Die Base64-Dekodierung und Signaturprüfung nutzen die native Web Crypto API. Trotzdem gilt: Produktions-Tokens mit sensiblen Daten nur auf vertrauenswürdigen Geräten dekodieren.

Welche Algorithmen werden unterstützt?

Die Dekodierung funktioniert mit allen JWT-Algorithmen. Die Signaturverifizierung unterstuetzt HMAC (HS256, HS384, HS512) mit Shared Secret sowie RSA (RS256, RS384, RS512) und ECDSA (ES256, ES384, ES512) mit oeffentlichem Schluessel im PEM-Format. Alle Pruefungen laufen komplett im Browser ueber die Web Crypto API.

Wie prüfe ich, ob mein JWT abgelaufen ist?

Füge dein Token ein – das Tool prüft automatisch den exp-Claim (Expiration Time). Ist das Token abgelaufen, erscheint ein roter „Abgelaufen"-Badge und der Ablaufzeitpunkt wird hervorgehoben. Der nbf-Claim (Not Before) wird ebenfalls geprüft und als Warnung angezeigt, falls das Token noch nicht gültig ist.

Was bedeuten die Claims (iss, sub, aud, exp)?

Standard-Claims nach RFC 7519: iss (Issuer) identifiziert den Aussteller, sub (Subject) den Nutzer, aud (Audience) die Zielgruppe, exp (Expiration) den Ablaufzeitpunkt, iat (Issued At) den Ausstellungszeitpunkt, nbf (Not Before) den Gültigkeitsbeginn und jti (JWT ID) eine eindeutige Token-ID. Unser Claims-Tab zeigt diese Beschreibungen automatisch an.

Kann ich die Signatur verifizieren?

Ja! Fuer HMAC-Algorithmen (HS256, HS384, HS512) gibst du dein Shared Secret ein. Fuer RSA (RS256/384/512) und ECDSA (ES256/384/512) gibst du den oeffentlichen Schluessel im PEM-Format ein. Die Verifizierung erfolgt ueber die Web Crypto API direkt im Browser. Ein gruener Badge zeigt eine gueltige Signatur, ein roter Badge eine ungueltige.

Kann ich auch eigene JWT Tokens erstellen?

Ja! Im Tab „Erstellen“ kannst du Header und Payload als JSON bearbeiten, einen Algorithmus waehlen (HS256/384/512) und ein Secret eingeben. Das signierte JWT wird live generiert und kann kopiert werden. Ideal fuer Test-Tokens bei der API-Entwicklung.

Wie pruefe ich die Signatur eines RSA- oder ECDSA-Tokens?

Fuege das Token im Decoder ein. Wenn der Header einen RSA-Algorithmus (RS256/384/512) oder ECDSA-Algorithmus (ES256/384/512) enthaelt, erscheint automatisch ein Eingabefeld fuer den oeffentlichen Schluessel (PEM-Format). Nach Eingabe wird die Signatur ueber die Web Crypto API verifiziert – komplett im Browser.