raatools/

JWT Decoder

Fügen Sie ein JWT ein, um Header, Payload und Claims zu dekodieren.

Was ist ein JWT-Decoder?

Ein JWT-Decoder zerlegt JSON Web Tokens in ihre drei Bestandteile: Header, Payload und Signatur. JWTs werden haeufig fuer Authentifizierung und Autorisierung in Webanwendungen verwendet.

Ein JWT besteht aus drei Base64-kodierten Teilen, getrennt durch Punkte: header.payload.signature. Der Header enthaelt den Algorithmus, der Payload die Claims (Behauptungen) und die Signatur schuetzt vor Manipulation.

Standard-JWT-Claims

  • sub: sub (Subject) — identifiziert den Benutzer oder das Subjekt des Tokens. Typischerweise eine Benutzer-ID.
  • iat: iat (Issued At) — Zeitstempel der Token-Erstellung als Unix-Timestamp.
  • exp: exp (Expiration) — Ablaufzeitpunkt des Tokens. Nach diesem Zeitpunkt sollte das Token abgelehnt werden.
  • iss: iss (Issuer) — identifiziert den Aussteller des Tokens. Zum Beispiel: auth.example.com.
  • aud: aud (Audience) — gibt den beabsichtigten Empfaenger an. Das Token sollte nur von diesem Service akzeptiert werden.

So verwenden Sie dieses Tool

Fuegen Sie ein JWT ein und das Tool zeigt den dekodierten Header und Payload als lesbares JSON an. Ablaufzeit, Ausstellungszeitpunkt und andere Zeitstempel werden automatisch in lesbare Daten umgewandelt.

JWT-Sicherheit

Der Payload eines JWT ist Base64-kodiert, nicht verschluesselt — jeder kann ihn lesen. Speichern Sie niemals sensible Daten (Passwoerter, Kreditkarten) im JWT-Payload. Verwenden Sie JWE (JSON Web Encryption) fuer verschluesselte Tokens.

Wie JWT-Authentifizierung funktioniert

Der Benutzer meldet sich an und erhaelt ein signiertes JWT vom Server. Bei jeder weiteren Anfrage sendet der Client das JWT im Authorization-Header. Der Server verifiziert die Signatur und gewaehrt Zugriff.

Vorteil gegenueber Session-Cookies: Der Server muss keinen Zustand speichern (stateless). Das Token enthaelt alle benoetigten Informationen. Nachteil: Tokens koennen nicht einzeln widerrufen werden (ohne Blacklist).

Haeufige JWT-Fehler

Den Algorithmus 'none' akzeptieren — ermoeglicht unsignierte Tokens. Immer den erwarteten Algorithmus serverseitig erzwingen und 'none' ablehnen.

Zu lange Gueltigkeitsdauer — Access Tokens sollten kurzlebig sein (5-15 Minuten). Verwenden Sie Refresh Tokens (Stunden bis Tage) fuer die erneute Ausstellung.

Haeufig gestellte Fragen

Wo speichere ich JWTs im Browser?

Am sichersten: httpOnly, secure, SameSite Cookie — schuetzt vor XSS. localStorage ist bequemer, aber anfaellig fuer XSS-Angriffe. Verwenden Sie niemals sessionStorage oder normale Cookies ohne die genannten Flags.

Kann ich ein JWT faelschen?

Ohne den geheimen Schluessel (HMAC) oder den privaten Schluessel (RSA/ECDSA) kann eine gueltige Signatur nicht erstellt werden. Allerdings kann der Payload jederzeit gelesen werden — daher keine sensiblen Daten hineinstellen.