JWT Decoder
Dekodiere ein JWT, um seine Kopfzeile und Nutzdaten zu sehen. Erkennt einen abgelaufenen exp-Anspruch. Die Signatur wird NICHT verifiziert.
Kurze Antwort: Dekodiere ein JWT, um seine Kopfzeile und Nutzdaten zu sehen. Erkennt einen abgelaufenen exp-Anspruch. Die Signatur wird NICHT verifiziert.
Zuletzt aktualisiert
Häufig gestellte Fragen
- Wie dekodiere ich ein JWT?
- Fügen Sie das Token ein und der Header sowie die Nutzlast erscheinen sofort. Die Ansprüche `iat`, `nbf` und `exp` werden als lesbare Zeitstempel angezeigt.
- Überprüft dies die Signatur?
- Nein — und Sie sollten ein dekodiertes JWT niemals für sich allein vertrauen. Überprüfen Sie immer die Signatur serverseitig mit dem geheimen Schlüssel oder öffentlichen Schlüssel, bevor Sie einem Anspruch vertrauen.
- Wie erkenne ich, ob ein Token abgelaufen ist?
- Wenn die Nutzlast einen `exp`-Anspruch hat, vergleichen wir ihn mit der aktuellen Zeit und zeigen 'Abgelaufen' oder 'Nicht abgelaufen' neben der Nutzlast an.
- Was ist, wenn das Token fehlerhaft ist?
- Wir zeigen einen freundlichen Fehler an: Ein JWT muss drei durch Punkte getrennte Teile haben (header.payload.signature) und die ersten beiden müssen gültiges base64url-kodiertes JSON sein.
- Werden URL-sichere Zeichen unterstützt?
- Ja — base64url-Dekodierung (`-` für `+`, `_` für `/`, keine Auffüllung) ist der JWT-Standard und wir befolgen diesen.
- Wird das Token irgendwohin gesendet?
- Nein. Die Dekodierung läuft vollständig in Ihrem Browser, sodass selbst Produktions-Token sicher zum Einfügen sind.
- Was befindet sich in einem JWT-Header?
- In der Regel `alg` (Signaturalgorithmus) und `typ` (immer 'JWT'). Einige Tokens fügen `kid` hinzu, um anzugeben, welcher Schlüssel sie signiert hat.
- Was sind gängige Ansprüche in der Nutzlast?
- `sub` (Betreff), `iss` (Aussteller), `aud` (Publikum), `iat` (ausgestellt am), `exp` (läuft ab), `nbf` (nicht vor). Apps fügen auch benutzerdefinierte Ansprüche hinzu.
- Warum ist base64url anders als base64?
- JwTs reisen in URLs und Headers, daher wird `+`/`/` gegen `-`/`_` getauscht und die `=`-Auffüllung entfernt, um URL-sicher zu bleiben.
- Ist dieser JWT-Dekoder kostenlos?
- Ja — kostenlos, keine Anmeldung, keine Einschränkungen.