JWT-Decoder
JSON Web Tokens dekodieren und untersuchen.
Auf jeder Seite nutzen (Bookmarklet)
Du möchtest JWT-Decoder nutzen, ohne die aktuelle Seite zu verlassen? Zieh den Button unten in deine Lesezeichenleiste und klicke ihn auf einer beliebigen Website an — JWT-Decoder öffnet sich direkt dort und läuft vollständig in deinem Browser.
Verantwortungsvoll nutzen: Ein Bookmarklet läuft auf der Seite, auf der du es anklickst. Meide sensible Websites wie Online-Banking, Zahlungen oder Gesundheitsseiten — die Nutzung erfolgt auf eigenes Risiko. Alles wird lokal verarbeitet, es werden keine Daten gesendet. Siehe unsere Nutzungsbedingungen.
- Blende die Lesezeichenleiste ein, falls sie verborgen ist — Ctrl+Shift+B (⌘+Shift+B auf dem Mac).
- Zieh den Button oben auf die Lesezeichenleiste.
- Öffne eine beliebige Website und klicke das Lesezeichen — das JWT-Decoder-Panel erscheint oben rechts. Mit ✛ wechselst du die Ecke, mit ›/‹ klappst du es an den Rand und wieder heraus.
- Klicke das Lesezeichen erneut (oder ✕), um es zu schließen.
Hinweis: Einige Websites mit strengen Sicherheitsrichtlinien können Bookmarklets blockieren.
Beispiele
Header & Payload dekodieren
Eingabe
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc
Ausgabe
Header: { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }Algorithmus & Rolle prüfen
Eingabe
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig
Ausgabe
Header: { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }Über dieses Tool
Dieser kostenlose Online-JWT-Decoder liest ein JSON Web Token und zeigt seinen Header und seine Payload als formatiertes JSON, direkt in deinem Browser. Füge ein Token ein, und es wird live dekodiert. Alles läuft lokal ohne Upload — dein Token verlässt dein Gerät nie.
So funktioniert's
- Füge dein JWT in die Eingabe ein (oder klicke auf Beispiel).
- Lies den dekodierten Header und die Payload und kopiere eines davon.
- Prüfe die Time-Claims, um zu sehen, wann das Token ausgestellt wurde oder abläuft.
Nur dekodieren — nicht prüfen
Die Payload eines JWT ist base64url-kodiert, nicht verschlüsselt, sodass jeder sie lesen kann. Dieses Tool dekodiert sie zur Inspektion, prüft aber nicht die Signatur (die den Signaturschlüssel benötigt). Für Sicherheitsentscheidungen prüfe Tokens immer auf deinem Server.
Häufig gestellte Fragen
Ist dieser JWT-Decoder kostenlos?
Ja — ein komplett kostenloser Online-JWT-Decoder ohne Anmeldung.
Wird mein Token an einen Server gesendet?
Nein. Das Token wird komplett ohne Upload in deinem Browser dekodiert und verlässt dein Gerät also nie — wichtig, da Tokens sensible Anmeldedaten sind.
Prüft es die Signatur?
Nein. Dies ist ein Decoder/Inspektor — er liest Header und Payload, prüft aber nicht die Signatur, die das Secret oder den öffentlichen Schlüssel erfordert. Vertraue auf einem Server niemals einem ungeprüften Token.
Was steckt in einem JWT?
Drei durch Punkte getrennte base64url-Teile: ein Header (Algorithmus und Typ), eine Payload (Claims wie sub, iat, exp) und eine Signatur. Dieses Tool dekodiert Header und Payload.
Ist die Payload verschlüsselt?
Nein. Eine Standard-JWT-Payload ist nur base64url-kodiert, nicht verschlüsselt — jeder kann sie lesen. Lege niemals Geheimnisse in eine JWT-Payload.
Was bedeuten iat und exp?
Es sind Unix-Timestamps: iat ist der Ausstellungszeitpunkt des Tokens und exp der Ablaufzeitpunkt. Das Tool zeigt sie als lesbare Daten und kennzeichnet, ob das Token abgelaufen ist.
Kann ich ein auf einer anderen Seite markiertes Token dekodieren?
Ja — füge das Bookmarklet hinzu, markiere ein Token auf einer beliebigen Seite und klicke es an, um die Auswahl direkt zu dekodieren.
Ähnliche Tools
Hash-Generator
MD5-, SHA-1-, SHA-256- und SHA-512-Hashes aus Text im Browser erzeugen.
Base64-Encoder / -Decoder
Text in Base64 kodieren oder Base64 zurück in Text dekodieren.
URL-Encoder / -Decoder
URLs und Query-Strings prozentkodieren oder dekodieren.
HTML-Kodierung / -Dekodierung
HTML-Entities kodieren oder dekodieren.