jwtdecoder.de

Wissen · JWT 2026

Alles zu JSON Web Tokens

12 Ratgeber zu den wichtigsten JWT-Themen: von Grundlagen über Algorithmen bis Security-Best-Practices.

Grundlagen

4 Artikel

Was ist ein JSON Web Token (JWT)?

Was JWT als kompaktes, URL-sicheres Token-Format leistet, wann es Sessions ersetzt und welche Probleme es löst - und welche nicht.

7 min Lesen →

JWT-Aufbau: die drei Base64URL-Teile

Header.Payload.Signature, je base64url-encoded. Was JOSE-Header kann, welche Claims-Typen es gibt und wie die Signatur berechnet wird.

8 min Lesen →

JWT Standard-Claims nach RFC 7519

Was die sieben "Registered Claim Names" bedeuten, warum aud-Validierung kritisch ist und wie man Clock-Skew bei exp/nbf handhabt.

8 min Lesen →

JWT oder Session-Cookie? Eine ehrliche Abwägung

JWT lohnt sich bei Microservices, Mobile-Clients und API-Gateways. Klassische Sessions bleiben besser für Monolithen mit User-Logout.

8 min Lesen →

Algorithmen

1 Artikel

JWT-Signaturalgorithmen: HMAC, RSA, ECDSA

HS256 für interne Services, RS256 für Public-Key-Verteilung über JWKS, ES256 für mobile und High-Performance-Setups.

9 min Lesen →

Sicherheit

3 Artikel

JWT-Sicherheit: 10 Regeln aus Production-Audits

Aus realen Pentests: alg whitelisten, kid-Header verifizieren, kurze Lifetimes, Refresh-Tokens rotieren, Secrets in Vault statt im Env-File.

11 min Lesen →

alg=none - wie Libraries Token einfach akzeptierten

Was 2015 mehrere Libraries gleichzeitig hatten: Algorithm-Verwechslung. Wie man das heute zuverlässig verhindert (Algorithm-Whitelisting).

7 min Lesen →

JWT im Browser sicher speichern

localStorage ist XSS-anfällig, httpOnly-Cookies sind XSS-sicher aber CSRF-relevant. Empfehlung: Cookie + SameSite=Strict + CSRF-Token.

8 min Lesen →

Implementation

4 Artikel

Refresh-Token-Pattern für JWT-basierte Auth

Access-Token 5-15 min, Refresh-Token 7-30 Tage, Rotation bei jedem Refresh, httpOnly-Cookie als Storage. Refresh-Token-Reuse-Detection.

10 min Lesen →

Key-Rotation für JWT - ohne Token zu invalidieren

Zwei aktive Keys parallel, alte Tokens noch akzeptieren bis Refresh-Lifetime abgelaufen, dann alten Key entfernen. JWKS-Caching beachten.

9 min Lesen →

JWT debuggen: typische Fehler und schnelle Fixes

Wie man Token-Probleme schnell isoliert: Header decodieren, Algorithmus prüfen, exp/nbf gegen Server-Uhrzeit, Secret-Encoding (UTF-8 vs Base64).

8 min Lesen →

JWKS - der Standard für Public-Key-Verteilung

JWKS-Endpoint-Format nach RFC 7517, Caching-Header beachten, kid-Lookup im JWT-Header, Rotation transparent für Clients.

9 min Lesen →