Was ist ein JWT Decoder und was zeigt er an?

Ein JWT Decoder liest einen JSON Web Token und legt seinen Inhalt offen. Dieser Decoder formatiert den vollständigen Header und die Payload übersichtlich und hebt die standardmäßigen Zeit-Claims exp, iat und nbf als lesbare UTC-Daten mit Status-Badges hervor.

Wie decodiere ich einen JWT mit dem Bearer-Präfix?

Füge einfach den gesamten Wert des Authorization-Headers ein. Der JWT Decoder entfernt ein vorangestelltes 'Bearer '-Präfix automatisch vor dem Decodieren, sodass du es nicht zuerst kürzen musst.

Prüft der JWT Decoder die Token-Signatur?

Nein. Er decodiert und zeigt lediglich Header, Payload und Claims an. Er verifiziert nie die Signatur, sodass die Decodierung allein nie beweist, dass ein Token echt ist.

Warum wird mein Token im JWT Decoder als Noch nicht gültig angezeigt?

Er hat einen nbf-Claim (not before) mit einer Zeit, die noch in der Zukunft liegt, sodass der Token noch nicht aktiv ist. Das Badge aktualisiert sich, sobald diese Zeit verstrichen ist.

Wird mein Token irgendwohin gesendet, wenn ich den JWT Decoder nutze?

Nein. Der JWT Decoder läuft vollständig in deinem Browser und der eingefügte Token verlässt nie dein Gerät, und nichts wird auf einen Server hochgeladen.

JWT-Dekoder

Dekodiere Header und Payload eines JWT und prüfe exp/iat (ohne Verifizierung).

Tokens werden lokal in deinem Browser decodiert und nichts wird hochgeladen, aber füge keine echten Produktions-Tokens oder Geheimnisse in ein Online-Tool ein.

Du musst einen Token erstellen und signieren? Probiere den JWT Signer.

Über JWT-Dekoder

Dieser JWT Decoder zerlegt jeden JSON Web Token in seine Segmente Header, Payload und Signatur und zeigt sie als sauberes, lesbares JSON an. Füge einen Token ein (mit oder ohne "Bearer "-Präfix) und er decodiert die base64url-Segmente sofort und stellt anschließend die standardmäßigen Zeit-Claims – exp, iat und nbf – als menschenlesbare UTC-Daten dar, mit Badges, die anzeigen, ob der Token abgelaufen, aktiv oder noch nicht gültig ist. Er ist für Backend-Entwickler, API-Engineers und QA-Tester gebaut, die Auth-Header debuggen, Token-Inhalte prüfen oder ein Ablaufdatum bestätigen müssen, ohne zu einer serverseitigen Bibliothek zu greifen. Verwende ihn als schnellen JWT Parser oder Token Decoder online beim lokalen Debuggen. Die Decodierung erfolgt lokal in deinem Browser, sodass der eingefügte Token nie dein Gerät verlässt und nichts hochgeladen wird.

Funktionen

Decodiert JWT-Header und Payload in übersichtlich formatiertes, syntaxhervorgehobenes JSON
Parst die Claims exp, iat und nbf und zeigt sie als lesbare UTC-Zeitstempel an
Markiert Tokens mit farbigen Badges als Abgelaufen, Gültig, Aktiv oder Noch nicht gültig
Akzeptiert Tokens mit oder ohne vorangestelltes Bearer-Präfix
Zeigt das rohe Signatursegment separat zur Inspektion an
Weist klar darauf hin, dass die Decodierung niemals die Signatur oder Echtheit eines Tokens prüft
Kopier-Buttons für decodiertes Header- und Payload-JSON sowie ein Löschen-Steuerelement

So verwendest du JWT-Dekoder

Füge deinen JWT in das Eingabefeld für JSON Web Token ein.
Lies den decodierten Header und die Payload, die als formatiertes JSON angezeigt werden.
Prüfe im Bereich Claims die Daten für Ausstellung, Not-Before und Ablauf sowie die Status-Badges.
Nutze die Kopier-Buttons, um das Header- oder Payload-JSON zu übernehmen, oder Löschen, um neu zu beginnen.

Beispiel

Eingabe

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkphbmUiLCJpYXQiOjE1MTYyMzkwMjJ9.signature

Ausgabe

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "1234",
  "name": "Jane",
  "iat": 1516239022
}

Der Decoder zerlegt den Token und stellt Header und Payload als JSON dar; iat erscheint als lesbares Datum.

Häufige Fehler & Fehlerbehebung

Du siehst eine Fehlermeldung, dass der Token mindestens zwei durch Punkte getrennte Segmente benötigt. — Ein JWT muss header.payload.signature sein. Stelle sicher, dass du den gesamten Token kopiert hast und die Punkte nicht entfernt wurden.
Der Decoder meldet, dass ein Segment kein gültiges base64url oder kein gültiges JSON ist. — Achte darauf, dass beim Übertragen keine Zeichen verloren gingen oder URL-codiert wurden und dass du den Token selbst eingefügt hast, nicht ein umgebendes Objekt oder Anführungszeichen.
Du hast eine Verifizierung erwartet, aber das Tool sagt, die Signatur werde nicht geprüft. — Dies ist ein Decoder, kein Validator. Er liest nur Token-Inhalte; nutze eine Signier- oder Verifizierungsbibliothek, um die Echtheit zu bestätigen.
Ein Token wird als Abgelaufen angezeigt, obwohl er aktuell scheint. — Der exp-Claim ist in UTC-Sekunden und wird mit der aktuellen Zeit verglichen. Vergleiche das angezeigte UTC-Datum mit deiner lokalen Uhr und Zeitzone.

Häufig gestellte Fragen

Was ist ein JWT Decoder und was zeigt er an?: Ein JWT Decoder liest einen JSON Web Token und legt seinen Inhalt offen. Dieser Decoder formatiert den vollständigen Header und die Payload übersichtlich und hebt die standardmäßigen Zeit-Claims exp, iat und nbf als lesbare UTC-Daten mit Status-Badges hervor.
Wie decodiere ich einen JWT mit dem Bearer-Präfix?: Füge einfach den gesamten Wert des Authorization-Headers ein. Der JWT Decoder entfernt ein vorangestelltes 'Bearer '-Präfix automatisch vor dem Decodieren, sodass du es nicht zuerst kürzen musst.
Prüft der JWT Decoder die Token-Signatur?: Nein. Er decodiert und zeigt lediglich Header, Payload und Claims an. Er verifiziert nie die Signatur, sodass die Decodierung allein nie beweist, dass ein Token echt ist.
Warum wird mein Token im JWT Decoder als Noch nicht gültig angezeigt?: Er hat einen nbf-Claim (not before) mit einer Zeit, die noch in der Zukunft liegt, sodass der Token noch nicht aktiv ist. Das Badge aktualisiert sich, sobald diese Zeit verstrichen ist.
Wird mein Token irgendwohin gesendet, wenn ich den JWT Decoder nutze?: Nein. Der JWT Decoder läuft vollständig in deinem Browser und der eingefügte Token verlässt nie dein Gerät, und nichts wird auf einen Server hochgeladen.