JWT · RFC 7519 · 100% Browser
JSON Web Tokens,
in 3 Sekunden dekodiert.
Header, Payload, Signature. HMAC, RSA, ECDSA verifizieren. Kostenlos, ohne Anmeldung, kein Server-Upload.
- HS · RS · ES
- Web Crypto API
- Decode + Encode
- OAuth / OIDC
Bearer-Prefix wird automatisch entfernt.
Token links einfügen, um das Ergebnis hier zu sehen.
Wissen rund um JSON Web Tokens
Alle Ratgeber →JWT-Aufbau
Header, Payload und Signature - wie die drei base64url-Teile zusammengesetzt sind und was der JOSE-Header alles kann.
Algorithmen
HS256 vs RS256 vs ES256: wann symmetrisch (HMAC) reicht und wann asymmetrisch (RSA/ECDSA) Pflicht ist.
Security
10 Best Practices aus Production-Audits: alg-Whitelisting, aud-Validierung, Refresh-Rotation, Secrets-Management.
Reale Case-Studies
OAuth-Login mit Google, Refresh-Token-Rotation in Production, eine alg=none-Schwachstelle aus dem Pentest 2024.
JWT Decoder: Token dekodieren, verifizieren, erstellen
Ein JSON Web Token (JWT, RFC 7519) ist ein kompaktes, URL-sicheres Token-Format für signierte Claims. Im Alltag begegnet es Entwicklern in OAuth-2.0-Flows, OpenID-Connect-ID-Tokens und API-Auth-Headern. Unser kostenloser JWT Decoder zerlegt jedes Token in Sekunden in seine drei Teile (Header, Payload, Signature) und zeigt alle Claims als lesbares JSON inklusive automatischer Zeitstempel-Konvertierung.
Drei Algorithmus-Familien werden für die Signaturprüfung unterstützt: HMAC (HS256/384/512 mit Shared Secret), RSA (RS256/384/512 mit Public Key) und ECDSA (ES256/384/512 ebenfalls mit Public Key). Alle Verifikationen laufen über die Web Crypto API direkt im Browser - kein Server-Upload, kein Risiko der Schlüssel-Exposition.
Neben der Dekodierung bietet das Tool einen JWT Encoder zum Erstellen eigener Tokens für API-Tests. Editiere Header und Payload als JSON, wähle Algorithmus und Schlüssel - das signierte Token wird live generiert. Für Vertiefung gibt es 12 Ratgeber rund um JWT-Aufbau, Algorithmen, Security-Best-Practices und Implementierung, dazu drei reale Case-Studies aus Production-Setups und ein JWT-Glossar mit über 30 Begriffen rund um JOSE, OAuth und OpenID Connect.
Häufige Fragen
Was ist ein JWT und wofür wird es verwendet?
JSON Web Token (JWT, RFC 7519) ist ein kompaktes, URL-sicheres Token-Format zum Übertragen signierter Claims. Hauptanwendung: Auth-Tokens in OAuth-2.0- und OpenID-Connect-Flows. Aufbau: Header.Payload.Signature, je base64url-encoded.
Ist es sicher, ein JWT online zu dekodieren?
Bei jwtdecoder.de ja - alle Dekodierung und Signaturprüfung läuft 100% im Browser über die Web Crypto API. Keine Server-Übertragung, keine Logs, kein Tracking des Token-Inhalts. Empfehlung: Produktions-Tokens mit echten User-Daten nur auf vertrauenswürdigen Geräten dekodieren.
Welche Algorithmen werden für die Signaturprüfung unterstützt?
HMAC (HS256, HS384, HS512) mit Shared Secret. RSA (RS256, RS384, RS512) mit Public Key im PEM-Format. ECDSA (ES256, ES384, ES512) ebenfalls mit Public Key. Alle Verifikationen laufen über die Web Crypto API direkt im Browser.
Was bedeuten die Standard-Claims iss, sub, aud, exp?
Registered Claims aus RFC 7519: iss (Issuer) identifiziert die ausstellende Instanz, sub (Subject) den Nutzer, aud (Audience) den Ziel-Service, exp (Expiration) den Ablaufzeitpunkt als Unix-Timestamp. Plus iat (Issued At), nbf (Not Before) und jti (eindeutige Token-ID).
Was ist die alg=none-Schwachstelle?
2015 entdeckt: mehrere JWT-Libraries akzeptierten Tokens mit Header alg="none" als gültig - ohne Signaturprüfung. Angreifer konnte beliebige Claims unterschieben. Heutiger Fix: Verifier MUSS einen erlaubten Algorithmus explizit erwarten (Whitelist), niemals nur dem Header-Wert vertrauen.
Wie unterscheidet sich JWT von Session-Cookies?
JWT ist stateless - der Server speichert keinen Session-State, weil alle Claims im Token signiert sind. Klassische Sessions speichern den State in einer Datenbank. JWT lohnt sich bei Microservices und Mobile-Clients. Sessions bleiben besser, wenn sofortiger Logout kritisch ist.
Kann ich mit dem Tool auch eigene JWTs erstellen?
Ja - der "Erstellen"-Tab erlaubt das Bauen eigener Tokens: Header und Payload als JSON editieren, Algorithmus wählen, Secret oder Private Key eingeben. Das Token wird live signiert und kann kopiert werden. Ideal für Test-Tokens bei API-Entwicklung.
Wie verifiziere ich ein RSA- oder ECDSA-Token?
Token im Decoder einfügen. Wenn der Header einen asymmetrischen Algorithmus zeigt (RS256, ES256 etc.), erscheint automatisch ein Feld für den Public Key im PEM-Format. Nach Eingabe wird die Signatur via Web Crypto API verifiziert - grünes Badge bei Erfolg.
Mehr Antworten in unserer vollständigen FAQ.