Wie benutzt du dieses Tool?
- Füge deinen JWT-Token in das Eingabefeld ein — per Paste oder Drag & Drop.
- Header und Payload erscheinen sofort als formatiertes JSON.
- Zeitstempel werden automatisch in lesbare UTC-Datumsangaben umgerechnet.
- Der Ablaufstatus zeigt dir, ob der Token noch gültig, abgelaufen oder noch nicht aktiv ist.
Was macht der Decoder?
Der JWT Decoder nimmt einen vollständigen JWT-String und zerlegt ihn in seine drei Bestandteile: Header, Payload und Signatur. Die ersten beiden Segmente werden per Base64url dekodiert und als eingerücktes JSON dargestellt. Das dritte Segment (die Signatur) wird bewusst nicht verifiziert — dafür wäre der geheime Schlüssel nötig, der auf dem Server liegt.
Zusätzlich erkennt der Decoder Zeitstempel-Claims (iat, exp, nbf) und rechnet die Unix-Timestamps in lesbare UTC-Datumsangaben um. Ein Statusfeld zeigt auf einen Blick, ob der Token gültig, abgelaufen oder noch nicht aktiv ist.
Was ist die Umrechnungsformel?
JWT-Dekodierung arbeitet auf String-Ebene, nicht auf kryptografischer Ebene. Der Algorithmus:
- Der JWT-String wird am Punkt (
.) in drei Segmente aufgeteilt. - URL-sichere Zeichen werden zurückgewandelt:
-wird zu+,_wird zu/. - Fehlende Base64-Padding-Zeichen (
=) werden ergänzt. - Das Ergebnis wird per
atob()in einen Binärstring dekodiert und als UTF-8-JSON geparst.
Beispiel: Das Segment eyJhbGciOiJIUzI1NiJ9 dekodiert zu {"alg":"HS256"}. Die Formel ceil(n / 3) * 4 beschreibt die Base64-Länge — beim Dekodieren läuft sie rückwärts.
Welche Anwendungsbeispiele gibt es?
| Szenario | Was der Decoder zeigt |
|---|---|
| API-Debugging | Header-Algorithmus (HS256, RS256) und Payload-Claims im Klartext |
| Token-Ablauf prüfen | exp-Claim als Datum plus Gültigkeitsstatus |
| OAuth-Fehlersuche | Scopes, Issuer und Audience aus dem Payload extrahieren |
| Entwickler-Onboarding | Aufbau eines JWT verstehen, ohne Code schreiben zu müssen |
| CI/CD-Pipeline-Logs | Token-Inhalte schnell prüfen, ohne jq oder Kommandozeilen-Tools |
JWTs sind Base64url-kodiert, nicht verschlüsselt. Jeder kann den Inhalt lesen — sensible Daten gehören nie unverschlüsselt in den Payload.
Welche Einsatzgebiete gibt es?
API-Authentifizierung und OAuth 2.0 — Die meisten REST-APIs nutzen JWTs als Bearer-Token im Authorization-Header. Entwickler dekodieren sie, um Claims wie sub (Subject), iss (Issuer) und aud (Audience) zu prüfen, bevor sie Fehlersuche am Server starten.
Single-Sign-On (SSO) — Identity-Provider wie Auth0, Keycloak oder Azure AD liefern JWTs nach erfolgreicher Anmeldung. Der Decoder hilft, die enthaltenen Rollen und Berechtigungen zu inspizieren, ohne den gesamten SSO-Flow erneut durchlaufen zu müssen.
Microservice-Kommunikation — In Service-Mesh-Architekturen tragen JWTs Claims zwischen Diensten. Wenn ein Service einen 401 oder 403 zurückgibt, zeigt der dekodierte Token oft sofort, welcher Claim fehlt oder abgelaufen ist.
Häufige Fragen
Die Antworten auf die wichtigsten Fragen findest du oben im FAQ-Block — sie werden als strukturiertes JSON-LD (FAQPage) für Suchmaschinen ausgegeben.
Welche Entwickler-Tools sind verwandt?
Weitere Tools aus dem Konverter-Ökosystem, die zum Thema passen:
- Base64 Encoder — Text in Base64 kodieren, das Basisformat hinter JWT-Segmenten.
- JSON Formatter — Rohen JSON-Code mit Einrückung lesbar formatieren und validieren.
- Hash-Generator — SHA-256- und andere Hashes erzeugen, wie sie in JWT-Signaturen zum Einsatz kommen.
Zuletzt aktualisiert: