Dekodiere JSON Web Tokens und verifiziere ihre Signaturen (HS256, RS256, ES256, EdDSA) vollständig in deinem Browser mit der Web Crypto API.

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

So funktioniert es

Füge ein JSON Web Token ein — das Tool teilt es sofort in seine drei Base64URL-kodierten Teile (Header, Payload, Signatur), dekodiert die ersten beiden zu JSON und zeigt sie formatiert an. Standard-Claims wie iat, nbf, exp, iss, sub und aud werden als lesbare Daten oder Labels dargestellt, sodass du abgelaufene oder noch nicht gültige Token auf einen Blick erkennst. Um die Signatur zu prüfen, gib das Signatur-Geheimnis (für HS256/HS384/HS512) oder den öffentlichen Schlüssel im PEM- oder JWK-Format (für RS256, ES256, ES384, ES512 oder EdDSA) ein. Das Tool nutzt die Web Crypto API, um die Signatur über header.payload neu zu berechnen und konstant-zeit mit dem Signatur-Segment zu vergleichen — ein grünes Badge bedeutet, dass das Token echt ist, ein rotes, dass die Signatur ungültig oder der falsche Schlüssel verwendet wurde. Alles läuft lokal: Token, Geheimnis und Schlüssel verlassen den Browser nie — deshalb weigern sich die meisten Online-JWT-Tools, Signaturen überhaupt zu prüfen.

Anwendungsfälle

Authentifizierungsfehler in einer Web- oder Mobil-App debuggen, indem du prüfst, welche Claims ein Token enthält

Sicherstellen, dass ein abgelaufenes oder manipuliertes Token von deiner Autorisierungslogik korrekt abgelehnt wird

Prüfen, ob dein Identity-Provider Token mit dem richtigen Schlüssel und Algorithmus signiert

JWT-Struktur, Claims und häufige Fehler (alg none, Key Confusion, fehlendes exp) anhand eines echten Beispiels lehren

Schnelles Triage eines Produktionsvorfalls, bei dem ein Token von einem nachgelagerten Dienst abgelehnt wird