JWT-Decoder

Dekodieren und inspizieren Sie JSON Web Tokens sofort.

JWT-Token eingeben

Was ist ein JWT?

JSON Web Token (JWT) ist ein offener Standard (RFC 7519), der eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können verifiziert und vertraut werden, da sie digital signiert sind. JWTs können mit einem Geheimnis (mit HMAC-Algorithmus) oder einem öffentlichen/privaten Schlüsselpaar (mit RSA oder ECDSA) signiert werden.

JWT-Struktur

Ein JWT besteht aus drei durch Punkte (.) getrennten Teilen:

Header: Enthält Metadaten über das Token, wie den Signaturalgorithmus (alg) und den Tokentyp (typ)
Payload: Enthält die Claims (Aussagen über eine Entität und zusätzliche Daten)
Signatur: Wird verwendet, um zu überprüfen, dass der Absender des JWT der ist, der er vorgibt zu sein, und um sicherzustellen, dass die Nachricht nicht unterwegs geändert wurde

Häufige JWT-Claims

iss: Issuer - identifiziert die Instanz, die das JWT ausgestellt hat
sub: Subject - identifiziert die Instanz, über die das JWT handelt
aud: Audience - identifiziert die Empfänger, für die das JWT bestimmt ist
exp: Expiration Time - identifiziert die Ablaufzeit, nach der das JWT nicht mehr akzeptiert werden darf
iat: Issued At - identifiziert die Zeit, zu der das JWT ausgestellt wurde
nbf: Not Before - identifiziert die Zeit, vor der das JWT nicht akzeptiert werden darf

Sicherheitsüberlegungen

Wichtig: Dieses Tool dekodiert nur JWTs. Es verifiziert keine Signaturen oder validiert Tokens.

Verifizieren Sie JWT-Signaturen immer serverseitig mit dem entsprechenden Geheimnis oder öffentlichen Schlüssel
Teilen Sie Ihre JWT-Geheimschlüssel oder privaten Schlüssel niemals öffentlich
Überprüfen Sie die Token-Ablaufzeit (exp-Claim), bevor Sie Tokens in Produktionsanwendungen akzeptieren