Was ist das?
Ein JWT (JSON Web Token, RFC 7519) ist ein kompakter Text, der drei Teile durch Punkte trennt: Header, Payload und Signatur. Header und Payload sind Base64-kodiertes JSON - nicht verschlüsselt, jeder kann den Inhalt lesen. Die Signatur stellt nur sicher, dass der Inhalt nicht verändert wurde.
Dieser Decoder läuft komplett im Browser. Ihr Token verlässt das Gerät nicht. Die Signatur wird hier nicht gegen einen Schlüssel geprüft - dafür braucht es das öffentliche Key-Material aus der jeweiligen Issuer-Konfiguration.
Wann brauche ich das?
Wenn Sie ein Token von einer API zurückbekommen und schnell sehen wollen, welche Claims drin
sind - sub, exp, iss, aud, eigene
Rollen. Hilfreich beim Debuggen von OIDC-Logins, API-Authentifizierung und
SaaS-Integrationen.
Sicherheits-Hinweis: teilen Sie produktive Tokens niemals mit fremden Online-Decodern. Sie enthalten typisch Identität, Rollen und manchmal personenbezogene Daten - das wären Datenschutzverstöße auf einem Silbertablett.