JWT-Decoder
Dekodieren Sie den Header und die Nutzlast eines JSON-Web-Tokens lokal in Ihrem Browser. Die Signatur wird angezeigt, aber nicht überprüft – es verlassen keine Schlüssel die Seite.
So verwenden Sie den JWT-Decoder
- Fügen Sie ein JWT-Token ein (drei durch Punkte getrennte Segmente).
- Klicken Sie auf „Berechnen“, um den dekodierten Header und die Nutzlast anzuzeigen.
- Überprüfen Sie die Signatur separat mit Ihrem Signaturschlüssel.
Anwendungsfälle
- •Debuggen von OAuth-/OIDC-Flows.
- •Überprüfung von Sitzungstoken während der Qualitätssicherung.
- •Ansprüche lesen, ohne die Produktionsinfrastruktur zu berühren.
Formel
JWT = base64url(header) . base64url(Nutzlast) . base64url(Signatur). Jedes Segment wird mithilfe von atob base64url-dekodiert, nachdem -/_ durch +/ ersetzt und auf ein Vielfaches von 4 aufgefüllt wurde.
Häufig gestellte Fragen
Ist die Signatur verifiziert?
Nein. Dieses Tool dekodiert nur. Zur Überprüfung müssen Sie HMAC/RSA/ECDSA mit dem öffentlichen Schlüssel des Ausstellers ausführen – weshalb dieser Decoder sicher auf nicht vertrauenswürdigen Token ausgeführt werden kann.
Ist es sicher, hier echte Token einzufügen?
Die Dekodierung erfolgt vollständig in Ihrem Browser; Es wird nichts irgendwo hingeschickt. Behandeln Sie Produktionstoken dennoch als Geheimnisse und erwägen Sie, sie nach dem Debuggen zu widerrufen.
Warum kann mein Token nicht entschlüsselt werden?
Höchstwahrscheinlich enthält es vereinzelte Leerzeichen, einen fehlenden Punkt oder das Signatursegment wurde abgeschnitten. Stellen Sie sicher, dass der Token genau drei durch Punkte getrennte Teile hat.