JWT-Decoder
JWT-Token sofort dekodieren und Header sowie Payload inspizieren. Kostenloser Online-JWT-Decoder, der vollständig in Ihrem Browser läuft.
Was ist der JWT-Decoder?
Der JWT-Decoder ist ein kostenloses Online-Tool, das JSON Web Tokens (JWT) dekodiert und Header sowie Payload in einem menschenlesbaren JSON-Format anzeigt. Es erkennt automatisch den Ablaufstatus des Tokens, indem es den exp-Claim liest, und hilft Entwicklern schnell festzustellen, ob ein Token noch gültig ist. Die gesamte Dekodierung erfolgt vollständig in Ihrem Browser, sodass Ihre sensiblen Token niemals über das Netzwerk übertragen werden.
Wie verwende ich diesen JWT-Decoder?
- Fügen Sie Ihren vollständigen JWT-Token (alle drei Base64-kodierten Teile, getrennt durch Punkte) in das Eingabefeld ein.
- Klicken Sie auf JWT dekodieren, um die Token-Struktur zu analysieren.
- Überprüfen Sie den dekodierten Header, um den Signaturalgorithmus und Tokentyp zu sehen.
- Untersuchen Sie den Payload, um alle Claims einschließlich Betreff, Aussteller und benutzerdefinierter Daten anzuzeigen.
- Prüfen Sie die Ablaufstatusanzeige, um zu sehen, ob der Token aktuell gültig oder abgelaufen ist.
Tipps & Best Practices
Produktions-Token niemals teilen
Obwohl dieses Tool Token lokal verarbeitet, vermeiden Sie das Teilen von JWT-Token aus Produktionsumgebungen in Screenshots oder Protokollen. Token können sensible Benutzerinformationen in ihrem Payload enthalten, und ein nicht abgelaufener Token könnte für unbefugten Zugriff verwendet werden.
Die drei Teile verstehen
Ein JWT besteht aus drei Base64URL-kodierten Teilen, getrennt durch Punkte: dem Header (Algorithmus und Typ), dem Payload (Claims und Daten) und der Signatur (Verifizierungs-Hash). Dieses Tool dekodiert die ersten beiden Teile, die nicht verschlüsselt, sondern nur kodiert sind.
Ablauf regelmäßig prüfen
Der exp-Claim enthält die Ablaufzeit des Tokens als Unix-Zeitstempel. Beim Debuggen von Authentifizierungsproblemen prüfen Sie immer zuerst, ob der Token abgelaufen ist, da dies die häufigste Ursache für 401-Unauthorized-Fehler bei API-Aufrufen ist.
Auf benutzerdefinierte Claims achten
Neben Standard-Claims wie iss, sub und exp fügen viele Anwendungen benutzerdefinierte Claims wie Benutzerrollen, Berechtigungen oder Mandanten-IDs hinzu. Das Verständnis dieser benutzerdefinierten Claims kann Ihnen helfen, Autorisierungs- und Zugriffskontrollprobleme effektiver zu debuggen.
Häufige Anwendungsfälle
API-Debugging
Wenn API-Anfragen Authentifizierungsfehler zurückgeben, dekodieren Sie den JWT aus dem Authorization-Header, um zu prüfen, ob der Token abgelaufen ist, für die falsche Zielgruppe ausgestellt wurde oder erforderliche Claims fehlen, die die API erwartet.
OAuth-Flow-Fehlerbehebung
Während der Implementierung von OAuth 2.0 und OpenID Connect inspizieren Sie ID-Token und Access-Token, um zu überprüfen, dass der Identity Provider die korrekten Scopes, Claims und Audience-Werte im Token-Payload zurückgibt.
Sicherheitsaudit
Überprüfen Sie JWT-Token, um sicherzustellen, dass sie keine übermäßigen oder sensiblen Informationen in ihrem Payload enthalten. Da JWT-Payloads nur Base64-kodiert (nicht verschlüsselt) sind, können alle Daten im Payload von jedem gelesen werden, der den Token abfängt.
FAQ
Ist es sicher, meinen JWT hier einzufügen?
Ja. Die gesamte Dekodierung erfolgt lokal in Ihrem Browser. Es werden keine Daten an einen Server gesendet.
Kann dieses Tool JWT-Signaturen verifizieren?
Dieses Tool dekodiert und zeigt JWT-Inhalte an. Die Signaturverifizierung erfordert den geheimen Schlüssel, der für die Inspektion nicht benötigt wird.
Was ist der Unterschied zwischen JWS und JWE?
JWS (JSON Web Signature)-Token haben einen signierten, aber lesbaren Payload, was die meisten Menschen unter JWT verstehen. JWE (JSON Web Encryption)-Token haben einen verschlüsselten Payload, der ohne den Entschlüsselungsschlüssel nicht gelesen werden kann. Dieses Tool funktioniert mit JWS-Token, die bei weitem der häufigste Typ in der Praxis sind.
Warum kann ich den Payload ohne den geheimen Schlüssel lesen?
JWT-Payloads sind Base64URL-kodiert, nicht verschlüsselt. Die Signatur stellt nur sicher, dass der Token nicht manipuliert wurde; sie verbirgt den Inhalt nicht. Dies ist beabsichtigt, daher sollten Sie niemals wirklich geheime Informationen in einem JWT-Payload speichern, es sei denn, Sie verwenden JWE-Verschlüsselung.
Was sind gängige JWT-Claims?
Standard-Claims umfassen iss (Aussteller), sub (Betreff/Benutzer-ID), aud (Zielgruppe), exp (Ablaufzeit), nbf (nicht vor), iat (ausgestellt am) und jti (JWT-ID). Anwendungen fügen häufig benutzerdefinierte Claims für Rollen, Berechtigungen und andere anwendungsspezifische Daten hinzu.