Sie sind verantwortlich für die Schlüsselverwaltung und Ausgabevalidierung.
JWT-Decoder online
JWT-Decoder ohne Verifizierung. Dekodieren Sie JWT-Tokens sicher.
JWT-Token dekodieren
Ein gültiges JWT hat drei durch Punkte getrennte Teile.
JWK / JWKS analysieren
Fügen Sie einen JSON Web Key ein.
Wann dieses Tool verwenden
- 1Authentifizierungsprobleme debuggen
- 2Token-Ablaufzeiten verifizieren
- 3Benutzerdefinierte Ansprüche inspizieren
- 4JWK/JWKS für Schlüsselverwaltung parsen
- 5Token-Struktur während der Entwicklung und Tests verstehen
Sicherheitstipps
- ✓Dieses Tool dekodiert nur JWTs – es verifiziert KEINE Signaturen
- ✓Vertrauen Sie einem JWT nicht ohne Signaturverifizierung
- ✓Verwenden Sie immer HTTPS bei der Übertragung
- ✓Validieren Sie alle Ansprüche vor dem Akzeptieren
- ✓Speichern Sie JWTs sicher in httpOnly-Cookies oder sicherer Speicherung, nicht in localStorage
Was ist JWT?
JSON Web Token (JWT) ist ein offener Standard (RFC 7519), der eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können verifiziert und vertraut werden, da sie digital signiert sind.
JWTs werden häufig für Authentifizierung und Informationsaustausch in modernen Webanwendungen verwendet. Wenn sich ein Benutzer anmeldet, erstellt der Server ein JWT mit Identität und Berechtigungen.
Der Hauptvorteil von JWT ist seine zustandslose Natur – der Server muss keine Sitzungsinformationen in einer Datenbank speichern. Alle notwendigen Informationen sind im Token selbst enthalten.
JWT-Struktur
Ein JWT besteht aus drei Teilen, getrennt durch Punkte (.): Header, Payload und Signatur. Jeder Teil ist Base64Url-kodiert.
1Header
Enthält Metadaten über das Token, einschließlich des Signaturalgorithmus (alg) und Tokentyps (typ).
{
"alg": "HS256",
"typ": "JWT"
}2Payload
Enthält die Ansprüche – Aussagen über den Benutzer und zusätzliche Daten. Ansprüche werden als registriert (Standard), öffentlich oder privat kategorisiert.
{
"sub": "1234567890",
"name": "Max Mustermann",
"iat": 1516239022,
"exp": 1516242622
}3Signatur
Stellt sicher, dass das Token nicht manipuliert wurde. Wird durch Signieren des kodierten Headers und Payload mit einem geheimen Schlüssel erstellt.
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
Standard JWT-Ansprüche
issAussteller – Identifiziert den Hauptanwendungsfall, der das JWT ausgestellt hat
subBetreff – Identifiziert den Hauptanwendungsfall, der das Thema des JWT darstellt
audZielgruppe – Identifiziert die Empfänger, für die das JWT bestimmt ist
expAblaufzeit – Die Zeit, nach der das JWT nicht mehr akzeptiert werden darf
nbfNicht vor – Die Zeit, vor der das JWT nicht akzeptiert werden darf
iatAusgestellt am – Die Zeit, zu der das JWT ausgestellt wurde
jtiJWT-ID – Eindeutiger Identifikator für das JWT
Häufige Anwendungsfälle
Authentifizierung
Nach der Benutzeranmeldung stellt der Server ein JWT aus, das der Client speichert und bei jeder Anfrage sendet.
Informationsaustausch
Sichere Übertragung von Informationen zwischen Diensten. Die Signatur stellt sicher, dass die Daten nicht manipuliert wurden.
API-Autorisierung
Drittanbieter-Anwendungen können über JWT-basierte OAuth 2.0-Flüsse auf APIs zugreifen.
Einmaliges Anmelden (SSO)
Benutzer authentifizieren sich einmal und erhalten Zugriff auf mehrere Anwendungen.
Sicherheitsüberlegungen
Dieses Tool ist schreibgeschützt
Dieser Dekoder analysiert und zeigt nur den JWT-Inhalt. Es verifiziert KEINE Signaturen. Vertrauen Sie einem JWT nicht ohne ordnungsgemäße Signaturverifizierung.
Immer HTTPS verwenden
JWTs enthalten sensible Informationen. Übertragen Sie sie immer über HTTPS.
Kurze Ablaufzeit setzen
Fügen Sie einen exp-Anspruch mit kurzer Gültigkeitsdauer hinzu.
Alle Ansprüche validieren
Validieren Sie den Aussteller (iss), die Zielgruppe (aud) und andere relevante Ansprüche.
Sichere Speicherung
Speichern Sie JWTs sicher. Verwenden Sie nach Möglichkeit httpOnly-Cookies.