Pulsars

JWT Decoder — JSON Web Tokens lokal dekodieren

🔒100% im Browser — Deine Tokens verlassen niemals dein Gerät. Keine Daten werden an einen Server gesendet.

Ein JWT (JSON Web Token) ist ein offener Standard (RFC 7519) zur sicheren Übertragung von Informationen zwischen zwei Parteien als kompaktes Token. Es besteht aus drei Base64URL-kodierten Teilen, getrennt durch Punkte: Header (Algorithmus und Typ), Payload (Claims wie Benutzer-ID, Ablaufdatum, Aussteller) und Signature (Verifizierungs-Hash). JWTs werden häufig für API-Authentifizierung, SSO (Single Sign-On) und Session-Management eingesetzt.

Was sind die drei Teile eines JWT?

Jedes JSON Web Token besteht aus drei durch Punkte getrennten Segmenten. Der Header enthält den Signaturalgorithmus (alg, z. B. RS256, HS256) und den Token-Typ (typ, in der Regel „JWT"). Der Payload enthält die Claims — strukturierte Daten wie sub (Benutzer-ID), iss (Aussteller), exp (Ablaufdatum) und benutzerdefinierte Felder wie Rollen oder Berechtigungen. Die Signatur wird durch Signieren des kodierten Headers und Payloads mit einem geheimen Schlüssel (HMAC) oder privaten Schlüssel (RSA/ECDSA) erstellt und stellt sicher, dass das Token nicht manipuliert wurde.

Ist es sicher, ein JWT in ein Online-Tool einzufügen?

JWTs enthalten oft sensible Informationen: Benutzer-IDs, E-Mail-Adressen, Rollen, Berechtigungen und interne Service-Kennungen. Das Einfügen dieser Tokens in Online-Tools, die Daten an ihre Server senden, stellt ein Sicherheitsrisiko dar — das Token könnte protokolliert, zwischengespeichert oder abgefangen werden. Dieses Tool dekodiert alles mit der nativen JavaScript-Funktion atob() direkt in Ihrem Browser. Es werden keine Netzwerkanfragen gestellt. Sie können dies überprüfen, indem Sie den Netzwerk-Tab in den Entwicklertools Ihres Browsers öffnen. Für die Kodierung und Dekodierung von Base64-Daten können Sie unseren Base64-Encoder/Decoder nutzen.

Wofür werden JWTs in Webanwendungen verwendet?

JWTs sind der Standard für zustandsloses Session-Management in modernen Webanwendungen. Nach der Anmeldung stellt der Server ein signiertes Token aus, das der Client bei jeder nachfolgenden Anfrage mitsendet, um seine Identität zu beweisen. JWTs werden für REST-API-Authentifizierung eingesetzt, da der Server keinen Session-Speicher benötigt — die Gültigkeit wird allein durch Prüfung der Signatur und des Ablaufdatums bestätigt. Weitere Einsatzgebiete sind Single Sign-On (SSO) über mehrere Dienste hinweg, OAuth 2.0 Access Tokens und Microservice-Kommunikation, bei der sich Dienste gegenseitig über signierte JWTs autorisieren.

Häufig gestellte Fragen

Ist es sicher, mein JWT hier einzufügen?

+

Ja. Dieses Tool dekodiert Ihr JWT vollständig in Ihrem Browser mithilfe der integrierten JavaScript-Funktion atob(). Es werden keine Daten an einen Server gesendet — Ihr Token verlässt niemals Ihr Gerät. Im Gegensatz zu einigen Online-Decodern, die Tokens über ihre Server senden, verarbeitet Pulsars alles lokal.

Was sind die drei Teile eines JWT?

+

Ein JWT besteht aus drei Base64URL-kodierten Teilen, die durch Punkte getrennt sind: dem Header (Algorithmus und Token-Typ), dem Payload (Claims — die eigentlichen Daten wie Benutzer-ID, Rollen und Ablaufdatum) und der Signatur (kryptografischer Beweis, dass das Token nicht manipuliert wurde).

Kann dieses Tool JWT-Signaturen verifizieren?

+

Nein. Die Signaturverifizierung erfordert den geheimen Schlüssel (für HMAC-Algorithmen wie HS256) oder den öffentlichen Schlüssel (für RSA/ECDSA-Algorithmen wie RS256). Da wir keinen Zugriff auf Ihre Schlüssel haben — und diese bewusst nicht abfragen — können wir nur den Token-Inhalt dekodieren und anzeigen. Verwenden Sie Ihr Backend oder ein lokales CLI-Tool für die vollständige Verifizierung.

Was bedeutet der 'exp'-Claim?

+

Der 'exp' (Expiration Time)-Claim ist ein Unix-Zeitstempel, der angibt, wann das Token ungültig wird. Nach dieser Zeit sollte jedes System, das das Token validiert, es ablehnen. Dieses Tool prüft automatisch, ob Ihr Token abgelaufen ist, und zeigt ein deutliches ABGELAUFEN- oder GÜLTIG-Badge an.

Was ist der Unterschied zwischen JWS und JWE?

+

JWS (JSON Web Signature) ist das, was die meisten als JWT bezeichnen — der Payload ist Base64URL-kodiert (für jeden lesbar) und zum Schutz der Integrität signiert. JWE (JSON Web Encryption) verschlüsselt den Payload, sodass er ohne den Entschlüsselungsschlüssel nicht lesbar ist. Dieses Tool dekodiert JWS-Tokens. Wenn Sie ein JWE-Token einfügen, ist der Payload kein lesbares JSON.

Related Tools

🔣
Base64 Encode / Decode
Encode and decode Base64 strings instantly. Supports standard and URL-safe Base64.
📋
JSON Formatter & Validator
Format, validate, beautify, and minify JSON instantly. Syntax error detection with line numbers.