Verifiziert der Decoder die Signatur?

**Nein**. Zum Verifizieren von **HS256** braucht es den Secret Key, **RS256** braucht den Public Key. Der Decoder zeigt **nur die Struktur**. Zum Verifizieren oder Signieren im Browser nutze unseren [JWT-Signierer / Verifizierer](/de/jwt-signierer-verifizierer). Wenn du ein RSA-/EC-Schlüsselpaar zum Signieren brauchst, erzeuge eines mit dem [JWT-Schlüsselpaar-Generator](/de/jwt-schluesselpaar-generator).

Geht mein Token irgendwohin?

**Nein**. Das gesamte Decoding **im Browser**: Base64url-Decode + JSON-Parse. Du kannst das in **DevTools → Netzwerk** prüfen: kein Upload. **Genau das ist der entscheidende Unterschied zu jwt.io**, das das Token über die Leitung schickt.

Was bedeuten exp / iat / nbf?

Drei zeitbezogene Claims: - **exp** (expiration): Unix-Timestamp, wann das Token **abläuft** - **iat** (issued at): wann es **ausgestellt** wurde - **nbf** (not before): **frühester** Zeitpunkt, ab dem das Token gültig wird Der Decoder zeigt sie als **lokalisiert formatierte Datumsangaben**.

Token zeigt abgelaufen, funktioniert aber, Bug?

Deine API hat möglicherweise eine **Clock-Skew-Toleranz** (üblich 30-60 s) oder **cached Verifizierungen**. Wenn **exp >5 min in der Vergangenheit** liegt und das Token trotzdem funktioniert, ist das ein **echter API-Bug**.

Was bedeutet alg = "none"?

Ein JWT mit Algorithmus **"none"** hat **keine Signatur**, jeder kann es verändern. Die klassische **"alg=none-Schwachstelle"**. Wenn du das in **Produktion** siehst, hast du potenziell ein **ernstes Sicherheitsproblem**.

Wird JWE unterstützt?

**Teilweise**. **JWE** (JSON Web Encryption, verschlüsselter Payload) hat **5 punktgetrennte Abschnitte** statt 3. Der Decoder wirft einen "shape"-Fehler, weil er 5 Teile sieht. **Die meisten JWTs in der Praxis sind JWS** (signiert) mit 3 Abschnitten, JWE ist Nische.

**Die JWT-Spec erlaubt UTF-8** in Claims (z. B. Umlaute oder nicht-lateinische Namen in "name"). Der Decoder geht **Base64 → Bytes → UTF-8-String → JSON parsen**. Ohne UTF-8 würden Umlaute verstümmelt (Latin-1-Artefakte).

Wie lang darf ein JWT sein?

**Keine technische Obergrenze**, aber praktisch: **HTTP-Cookie ~4 KB, Authorization-Header ~8 KB**. **Tokens über 2 KB = ein Warnsignal**, da hat jemand zu viele Claims reingestopft. Der Decoder verarbeitet jede Länge.

JWT Decoder - kostenlos

JWT Decoder

JSON Web Token einfügen, Header, Payload und Signatur sehen. Der Decoder läuft im Browser, das Token verlässt ihn nie.

JWT-Token

Das Token verlässt deinen Browser nie.

Was steckt in diesem JWT-Token? Wie decodiere ich es?

Füge ein JWT-Token ein, das Tool zeigt Header, Payload und Signatur. Alles läuft in deinem Browser, das Token verlässt dein Gerät nie.

Wichtig, weil das bekannte jwt.io Tokens über die Leitung schickt. Ein Produktions-Token dort einzufügen ist eine Einladung zu Problemen. Hier passiert alles lokal.

Perfekt für Authorization-Debugging: Access-Tokens, Refresh-Tokens, ID-Tokens von Auth0, Cognito, Firebase, Keycloak.

So nutzt du das Tool

Kopiere dein JWT-Token (beginnt mit "eyJ..." und hat 3 punktgetrennte Abschnitte).

Füge es ins Textfeld ein, es wird automatisch geparst (kein Klick nötig).

Rechts siehst du den Header (Algorithmus + Typ), links den Payload (Claims: sub, iss, exp, eigene Claims), darunter die Signatur.

Pills oben zeigen: Algorithmus (HS256/RS256/...), Typ (JWT/JWE), Ausstellungsdatum (iat), Ablauf (exp). Abgelaufenes Token = exp-Pill wird rot.

Wann das hilfreich ist

Sieben typische Situationen, in denen ein JWT-Decoder dir hilft zu verstehen, was tatsächlich im Token steckt:

Authorization-Debugging. Du erhältst ein Token vom Backend und willst die Claims sehen (Rolle, Organisation, Scopes).
Auth0 / Cognito / Firebase / Keycloak. Das ID-Token decodieren zeigt alle Nutzerattribute.
Ablauf-Check. Ist das Refresh-Token noch gültig? Die exp-Pill liefert die Antwort.
Code-Review. Ein Kollege hat ein Token in den Chat gepackt, du willst sehen, was drin steckt, bevor du einen Vorfall meldest.
Schulung. Sehen, wie JWT tatsächlich funktioniert, für Leute, die Authorization lernen.
OAuth 2.0 / OpenID Connect. Bearer-Access-Tokens parsen.
Audit. Zu lange Gültigkeit? Falsche Scopes? SHA-1-Signatur?

Fragen und Antworten

Nein. Zum Verifizieren von HS256 braucht es den Secret Key, RS256 braucht den Public Key. Der Decoder zeigt nur die Struktur. Zum Verifizieren oder Signieren im Browser nutze unseren JWT-Signierer / Verifizierer. Wenn du ein RSA-/EC-Schlüsselpaar zum Signieren brauchst, erzeuge eines mit dem JWT-Schlüsselpaar-Generator.

Was steckt in diesem JWT-Token? Wie decodiere ich es?

Füge ein JWT-Token ein, das Tool zeigt Header, Payload und Signatur. Alles läuft in deinem Browser, das Token verlässt dein Gerät nie.

Wichtig, weil das bekannte jwt.io Tokens über die Leitung schickt. Ein Produktions-Token dort einzufügen ist eine Einladung zu Problemen. Hier passiert alles lokal.

Perfekt für Authorization-Debugging: Access-Tokens, Refresh-Tokens, ID-Tokens von Auth0, Cognito, Firebase, Keycloak.

So nutzt du das Tool

Kopiere dein JWT-Token (beginnt mit "eyJ..." und hat 3 punktgetrennte Abschnitte).

Füge es ins Textfeld ein, es wird automatisch geparst (kein Klick nötig).

Rechts siehst du den Header (Algorithmus + Typ), links den Payload (Claims: sub, iss, exp, eigene Claims), darunter die Signatur.

Pills oben zeigen: Algorithmus (HS256/RS256/...), Typ (JWT/JWE), Ausstellungsdatum (iat), Ablauf (exp). Abgelaufenes Token = exp-Pill wird rot.

Wann das hilfreich ist

Sieben typische Situationen, in denen ein JWT-Decoder dir hilft zu verstehen, was tatsächlich im Token steckt:

Authorization-Debugging. Du erhältst ein Token vom Backend und willst die Claims sehen (Rolle, Organisation, Scopes).
Auth0 / Cognito / Firebase / Keycloak. Das ID-Token decodieren zeigt alle Nutzerattribute.
Ablauf-Check. Ist das Refresh-Token noch gültig? Die exp-Pill liefert die Antwort.
Code-Review. Ein Kollege hat ein Token in den Chat gepackt, du willst sehen, was drin steckt, bevor du einen Vorfall meldest.
Schulung. Sehen, wie JWT tatsächlich funktioniert, für Leute, die Authorization lernen.
OAuth 2.0 / OpenID Connect. Bearer-Access-Tokens parsen.
Audit. Zu lange Gültigkeit? Falsche Scopes? SHA-1-Signatur?

Fragen und Antworten

JWT Decoder

Was steckt in diesem JWT-Token? Wie decodiere ich es?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

UUID-Generator

Passwort-Hashes: MD5, SHA, bcrypt

TOTP-2FA-Secret-Generator

JWT Decoder

Was steckt in diesem JWT-Token? Wie decodiere ich es?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

UUID-Generator

Passwort-Hashes: MD5, SHA, bcrypt

TOTP-2FA-Secret-Generator