JWT-Decoder

Nach RFC 7519 / 7515

Header, Payload und Signatur lokal prüfen; kein Token verlässt Ihren Browser.

Was ist das, und wann brauche ich es?

Was ist das?

Ein JWT (JSON Web Token, RFC 7519) ist ein kompakter Text, der drei Teile durch Punkte trennt: Header, Payload und Signatur. Header und Payload sind Base64-kodiertes JSON - nicht verschlüsselt, jeder kann den Inhalt lesen. Die Signatur stellt nur sicher, dass der Inhalt nicht verändert wurde.

Dieser Decoder läuft komplett im Browser. Ihr Token verlässt das Gerät nicht. Die Signatur wird hier nicht gegen einen Schlüssel geprüft - dafür braucht es das öffentliche Key-Material aus der jeweiligen Issuer-Konfiguration.

Wann brauche ich das?

Wenn Sie ein Token von einer API zurückbekommen und schnell sehen wollen, welche Claims drin sind - sub, exp, iss, aud, eigene Rollen. Hilfreich beim Debuggen von OIDC-Logins, API-Authentifizierung und SaaS-Integrationen.

Sicherheits-Hinweis: teilen Sie produktive Tokens niemals mit fremden Online-Decodern. Sie enthalten typisch Identität, Rollen und manchmal personenbezogene Daten - das wären Datenschutzverstöße auf einem Silbertablett.