Rechner Welt
🇩🇪DE🇬🇧EN

JWT-Decoder 2026

Stand April 2026
Geprueft von Finanzrechner-Redaktion, Redaktion Tools|Stand: April 2026|Quellen: RFC 7519 — JSON Web Token, RFC 7515 — JWS, OWASP JWT Cheat Sheet

Dekodiert JSON Web Tokens — Header, Payload und Signatur, mit Ablaufpruefung. Vollstaendig im Browser, keine Uebertragung.

Das Tool zerlegt einen JWT (Header.Payload.Signature) und dekodiert Header und Payload aus Base64Url. Zusaetzlich wird das exp-Feld automatisch in Datum und Gueltigkeitsstatus uebersetzt. Verifikation erfolgt nicht — das gehoert auf den Server.

So funktioniert der JWT-Decoder

Ein JWT besteht aus drei Teilen, die durch Punkte getrennt sind. Header und Payload sind Base64Url-codierte JSON-Strukturen. Das Tool teilt am Punkt, dekodiert per atob und parst JSON.

Format und Claims

Standard-Claims (RFC 7519): iss, sub, aud, exp, nbf, iat, jti. Eigene Claims wie role, name, email sind erlaubt. Datums-Felder sind Unix-Timestamps in Sekunden.

Anwendungsfaelle

OAuth 2.0 / OIDC Access Tokens, API-Authentifizierung, Single Sign-On, Kurzlebige Magic-Login-Links, Service-to-Service-Auth.

Datenschutz

Vollstaendig im Browser — keine Server-Calls, kein Logging.

Typische Fehler

  • Sensitive Daten im Payload — Payload ist Base64, nicht verschluesselt.
  • Algorithmus "none" akzeptieren — kritische Sicherheitsluecke.
  • Token clientseitig "verifizieren" — Schluessel waere kompromittiert.

Häufige Fragen

JSON Web Token nach RFC 7519 ist ein kompaktes, URL-sicheres Format zur Uebertragung von Claims zwischen zwei Parteien. Es besteht aus drei Base64Url-codierten Teilen: Header, Payload, Signatur.
Nein. Dieses Tool dekodiert nur. Die Signatur wird angezeigt, aber nicht gegen einen Schluessel geprueft. Verifikation gehoert auf den Server.
Algorithmus (alg) und Token-Typ (typ). Beispiel: { 'alg': 'HS256', 'typ': 'JWT' }.
Standard-Claims wie iss (Issuer), sub (Subject), exp (Expiration), iat (Issued At) sowie beliebige eigene Felder.
Das Feld exp ist Unix-Timestamp in Sekunden. Das Tool zeigt Datum und Status (gueltig oder abgelaufen) automatisch an.
Bei korrekter Verwendung ja. Achtung: Payload ist nicht verschluesselt — nie sensitive Daten ablegen. Signatur muss serverseitig zwingend geprueft werden.
Nein. Die Dekodierung ist reine Client-Logik per atob.
JWT ist stateless und skaliert besser, hat aber Trade-offs (Token-Revocation komplex). Cookies sind bei klassischen Web-Apps oft einfacher.

Verwandte Tools

🔐HMAC-Generator🔐SHA-256-Generator💻Base64-Encoder

Alle Tools laufen vollständig im Browser, es werden keine eingegebenen Daten an einen Server übertragen. Ohne Gewähr — keine Rechts-, Steuer- oder Finanzberatung.

Letzte Aktualisierung: April 2026 | Quellen: RFC 7519 — JSON Web Token, RFC 7515 — JWS, OWASP JWT Cheat Sheet