JWT-Decoder & Verifizierer
Dekodiere JSON Web Tokens und verifiziere ihre Signaturen (HS256, RS256, ES256, EdDSA) vollständig in deinem Browser mit der Web Crypto API.
So funktioniert es
Füge ein JSON Web Token in die Eingabe ein — das Tool teilt es sofort in seine drei Base64URL-kodierten Teile (Header, Payload, Signatur), dekodiert die ersten beiden zu JSON und gibt sie mit Syntax-Highlighting aus. Standardansprüche wie iat, nbf, exp, iss, sub und aud werden als menschenlesbare Daten oder Labels gerendert, wo angemessen, damit du abgelaufene oder noch nicht gültige Token auf einen Blick erkennen kannst.
Um die Signatur zu verifizieren, füge das Signier-Secret (für HS256/HS384/HS512) oder den öffentlichen Schlüssel im PEM- oder JWK-Format (für RS256, ES256, ES384, ES512 oder EdDSA) ein. Das Tool verwendet die Web-Crypto-API des Browsers, um die Signatur über header.payload neu zu berechnen und sie gegen das Signatursegment in konstanter Zeit zu vergleichen — ein grünes Badge bedeutet, dass der Token authentisch ist, ein rotes Badge bedeutet, dass die Signatur ungültig ist oder der falsche Schlüssel verwendet wurde.
Alles läuft lokal: Token, Secret und Schlüssel verlassen deinen Browser nie.
Anwendungsfälle
- Authentifizierungsfehler in einer Web- oder Mobil-App debuggen, indem du prüfst, welche Claims ein Token enthält
- Sicherstellen, dass ein abgelaufenes oder manipuliertes Token von deiner Autorisierungslogik korrekt abgelehnt wird
- Prüfen, ob dein Identity-Provider Token mit dem richtigen Schlüssel und Algorithmus signiert
- JWT-Struktur, Claims und häufige Fehler (alg none, Key Confusion, fehlendes exp) anhand eines echten Beispiels lehren
- Schnelles Triage eines Produktionsvorfalls, bei dem ein Token von einem nachgelagerten Dienst abgelehnt wird
Häufig gestellte Fragen
- Sendet dieses Tool mein Token an einen Server?
- Nein. Dekodierung und Signaturverifizierung laufen beide in deinem Browser über Web Crypto. Token, Secrets und Schlüssel verlassen nie dein Gerät — deshalb weigern sich die meisten Online-JWT-Tools, Signaturen überhaupt zu verifizieren.
- Warum schlägt meine HS256-Verifizierung fehl?
- Die häufigste Ursache ist ein base64-kodiertes Secret, das als Literalzeichenkette interpretiert wird (oder umgekehrt). Stelle sicher, dass das Secret dem Format entspricht, das deine Signierbibliothek verwendet.
- Welche Algorithmen werden unterstützt?
- HS256, HS384, HS512 (HMAC), RS256, RS384, RS512 (RSA), ES256, ES384, ES512 (ECDSA) und EdDSA wo die Web Crypto des Browsers es unterstützt.
- Wie überprüfe ich, ob ein Token abgelaufen ist?
- Der dekodierte Payload zeigt iat, nbf und exp als menschenlesbare Daten. Ein rotes Badge erscheint für abgelaufene oder noch nicht gültige Token.
- Wird `alg: none` akzeptiert?
- Der Decoder zeigt den Header, weigert sich aber, alg=none zu verifizieren, da das Akzeptieren unsignierter Token ein bekanntes JWT-Anti-Pattern ist.