Zum Inhalt springen
CrateX.app Logo

CrateX.app

JWT-Decoder

Dekodieren Sie dreiteilige Standard-JWTs lokal, prüfen Sie formatierte Header- und Payload-JSON, kopieren Sie die rohe Signature und sehen Sie exp/nbf/iat-Zeiten ohne Verifizierung.

Eingabetext

Zeichen

0 / 16,000

Hinweis: Dieses Tool dekodiert den Token nur zur Ansicht. Die Signature wird nicht verifiziert, und dekodierte Claims können gefälscht sein, bis ein vertrauenswürdiges Backend sie validiert.
JWT-Decoder

Schnellstart

1
Vollständiges JWT mit drei punktgetrennten Teilen einfügen.
2
Header- und Payload-JSON lesen; Signatur wird roh angezeigt, nicht verifiziert.
3
exp/nbf/iat mit lokaler Zeit und UTC prüfen.
4
Benötigten Teil kopieren; sensible Tokens danach leeren.

Häufige Anwendungsfälle

API-Debugging

Token-Inhalt schnell prüfen und Claims vergleichen

Ablaufprüfung

exp-Feld prüfen und Zeitstatus einordnen

JWT lernen

Header/Payload-Struktur und Base64URL-Kodierung verstehen

Umgebungsvergleich

Tokens aus Dev/Test/Prod-Umgebungen vergleichen

Nutzungstipps

Die dekodierte Payload ist lesbar, aber nicht vertrauenswürdig. Produktionssysteme müssen Signatur, iss, aud, sub, scope und Widerrufsregeln im Backend validieren.
Vermeiden Sie das Einfügen von Tokens mit sensiblen Daten auf öffentlichen Geräten
Zeitfelder sind Unix-Zeitstempel (Sekunden); das Tool konvertiert automatisch in Lokal/UTC-Zeit

Dekodiervertrag

Die Eingabe muss ein kompakter dreiteiliger JWT in der Form header.payload.signature sein. Fünfteilige JWE-Token und benutzerdefinierte Tokenformate fallen nicht in diesen Decoder.
Header und Payload werden per Base64URL als UTF-8 dekodiert und dann als JSON geparst. Wenn einer der Teile kein gültiges Base64URL oder JSON ist, bleibt die Quelleingabe bestehen und das Ergebnis zeigt den passenden Fehler an.
Das Signature-Panel zeigt nur das rohe dritte Segment. Hier wird keine Secret-, Public-Key-, JWK-, JWKS- oder Web-Crypto-Verifizierung durchgeführt.

Sicherheitsgrenze

Die JWT-Decodierung läuft lokal im Browser. Die Token-Eingabe kann als Browser-Entwurf erhalten bleiben. Wenn ein gespeicherter Arbeitsbereich oder WebDAV-Sync aktiviert ist, kann die Token-Eingabe über diese Synchronisierung gespeichert werden. Header-, Payload- und Signature-Anzeigedaten, Claim-Zeitkarten, Parse-Fehler, Kopierstatus und Undo-Verlauf werden aus dem aktuellen Token abgeleitet und nicht als separate Ergebnisdaten gespeichert. Dieses Tool verifiziert keine Signaturen, ruft keine JWKS oder URLs ab, lädt keine Tokens hoch, erstellt keine Anhänge und erstellt keine Downloads dekodierter Dateien. Lösche auf gemeinsam genutzten Geräten nach der Prüfung das Token und die Websitedaten.
Wenn der Token vertrauliche Informationen enthält, verwenden Sie ein privates Gerät und löschen Sie die Eingabe nach der Prüfung.
Dekodieren macht Claims nur lesbar. Es beweist nicht, dass der Token von Ihrem Server ausgestellt wurde, von einer API akzeptiert wird oder vertrauenswürdig ist.
alg, kid, iss, aud, sub, scope, roles und jti werden als einfache JSON-Felder angezeigt. Validieren Sie sie mit Backend, Issuer-Metadaten, Schlüsseln, Audience-Regeln und Widerrufsrichtlinie.
Der Zeitstatus verwendet exp und nbf mit Ihrer lokalen Uhr. Server-Clock-Skew, Kulanzfristen, Sitzungswiderruf und Refresh-Token-Status können das tatsächliche Ergebnis verändern.
Hier nicht unterstützt: Signaturverifizierung, Secret- oder Public-Key-Eingabe, JWK/JWKS-Abfrage, OIDC Discovery, OAuth Introspection, JWE-Entschlüsselung, verschachteltes JWT-Parsing, Token-Generierung und serverseitige Validierung.

Einschränkungen und Kompatibilität

Nur Base64URL-Dekodierung – keine Signaturprüfung
Nur Standard 3-teiliges JWT unterstützt; JWE oder benutzerdefinierte Formate nicht unterstützt
Verschachtelte JWTs (JWT im Payload) werden nicht verarbeitet
Der Zeitstatus ist keine vollständige Gültigkeitsprüfung. Ein Token kann nicht abgelaufen sein und dennoch vom Server abgelehnt werden.
Auf dieser Seite werden ausschließlich Kopieraktionen angeboten. Decodierte Token-Dateien werden nicht heruntergeladen, exportiert, gespeichert oder weitergegeben.

Datenschutz & Sicherheit

Die JWT-Decodierung läuft lokal im Browser. Die Token-Eingabe kann als Browser-Entwurf erhalten bleiben. Wenn ein gespeicherter Arbeitsbereich oder WebDAV-Sync aktiviert ist, kann die Token-Eingabe über diese Synchronisierung gespeichert werden. Header-, Payload- und Signature-Anzeigedaten, Claim-Zeitkarten, Parse-Fehler, Kopierstatus und Undo-Verlauf werden aus dem aktuellen Token abgeleitet und nicht als separate Ergebnisdaten gespeichert. Dieses Tool verifiziert keine Signaturen, ruft keine JWKS oder URLs ab, lädt keine Tokens hoch, erstellt keine Anhänge und erstellt keine Downloads dekodierter Dateien. Lösche auf gemeinsam genutzten Geräten nach der Prüfung das Token und die Websitedaten.
Wenn der Token vertrauliche Informationen enthält, verwenden Sie ein privates Gerät und löschen Sie die Eingabe nach der Prüfung.

Häufige Fragen

6

Fahren Sie mit diesen verwandten Tools im nächsten Schritt fort.

Über

Über uns
Preise

Rechtliches

Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie

Einstellungen

Cookies verwalten

Die gesamte Verarbeitung der Tools findet lokal in Ihrem Browser statt.