Über dieses Werkzeug
Decodiert ein JSON Web Token und zeigt Header, Payload, Claims und Gültigkeitsstatus. Praktisch zum Debuggen von Authentifizierung, zum Verstehen, welche Daten eine Anwendung in einem Token weitergibt, zur Prüfung, ob ein Token abgelaufen ist, oder einfach um zu sehen, was in dieser langen Zeichenkette in deinen Cookies steht.
Anleitung
- Füge den JWT in das Eingabefeld ein.
- Sieh den Header mit Algorithmus und Typ und das Payload mit den Claims.
- Prüfe den Status: ob das Token abgelaufen, noch nicht gültig oder im Zeitraum ist.
- Untersuche Standard-Claims (iss, sub, exp, iat) und benutzerdefinierte.
Häufig gestellte Fragen
- Überprüft die Decodierung die Signatur?
- Nein. JWTs sind signiert, nicht verschlüsselt. Dieses Werkzeug decodiert Header und Payload (die einfaches Base64 sind), ohne den geheimen Schlüssel zu benötigen. Zum Verifizieren der Signatur brauchst du den Schlüssel, den der Aussteller verwendet hat, und dieser Schlüssel ist nicht Teil des Tokens. Decodierung dient der Inhaltsinspektion, nicht der Echtheitsprüfung.
- Kann ich sensible Claims in einem JWT lesen?
- Ja, und das ist wichtig zu wissen: Ein JWT-Payload ist Klartext (Base64), nicht verschlüsselt. Jeder mit Zugriff auf das Token kann alles darin lesen. Speichere keine Passwörter, Kartennummern oder sensible persönliche Daten in einem JWT, auch wenn es signiert ist.
- Welche Claims sind Standard?
- iss (Issuer, wer ausgestellt hat), sub (Subject, auf wen es sich bezieht), aud (Audience, für wen es ist), exp (Expiration, wann es abläuft), nbf (Not Before, davor nicht gültig), iat (Issued At, wann ausgestellt), jti (eindeutige Token-Kennung). Andere Claims können anwendungsspezifisch sein.