LogoEveryTool

JWT Decoder & Encoder: JSON Web Tokens Sofort ÜberprĂŒfen

Dekodieren Sie jedes JWT Token sofort im Browser oder generieren Sie Ihr eigenes mit dem integrierten Encoder. Sehen Sie Header, Payload, alle Claims mit verstÀndlichen Beschreibungen, Ablaufstatus und Live-Countdown - kein Login, keine Konten, Ihre Daten verlassen niemals den Browser.

100% im Browser · Kein Server · Komplett privat

Zuletzt aktualisiert: April 2026

0 Zeichen

100% Kostenlos & Privat

Alles passiert im Browser. Nichts wird hochgeladen. Ohne Anmeldung.

Im BrowserKeine Server-LogsKein Verlauf

Was ist ein JWT Token?

Ein JWT (JSON Web Token) ist ein kompaktes Format basierend auf RFC 7519, um Informationen sicher zwischen Parteien zu ĂŒbertragen. JWTs sind der Standard fĂŒr statuslose Authentifizierung: Der Server codiert die BenutzeridentitĂ€t, ohne in der Datenbank zu suchen.

Ein JWT besteht aus drei Base64url-codierten Teilen, getrennt durch Punkte (.):

Header

Gibt den Token-Typ (JWT) und den Signaturalgorithmus (alg) an, wie z.B. HS256. Base64url-codiertes JSON.

Payload

EnthĂ€lt die Claims (Benutzer, Email, Rolle, Ablauf). Der Payload ist nicht verschlĂŒsselt. Speichern Sie niemals Passwörter oder Geheimnisse darin.

Signatur

Ein kryptografischer Hash zur Verifizierung, dass der Token nicht manipuliert wurde.

JWTs werden weit verbreitet in REST-APIs und Microservices genutzt. FĂŒr verschlĂŒsselte Payloads verwenden Sie stattdessen JWE (JSON Web Encryption).

Decoder Anleitung

  1. Kopieren Sie den JWT Token aus Ihren HTTP-Headern
  2. FĂŒgen Sie ihn ein - er beginnt normalerweise mit eyJ
  3. Der Header und Payload erscheinen als JSON
  4. PrĂŒfen Sie den Token Status und den Live-Countdown
  5. Lesen Sie das Sicherheits-Audit durch
  6. Nutzen Sie die referenzierte Claims-Tabelle zur Auswertung
  7. Kopieren Sie den JS, Python, Go Code in Ihr Programm

JWT Standard Claims: sub, iss, aud, exp, iat, nbf, jti

  • sub - Subject. Die Person/das System, worum es geht (meist Nutzer-ID). (RFC 7519 §4.1.2)
  • iss - Issuer. Der Herausgeber des Tokens (Ihr Server). (RFC 7519 §4.1.1)
  • aud - Audience. Das Zielsystem, das ihn akzeptieren soll. (RFC 7519 §4.1.3)
  • exp - Expiration Time. Verfallsdatum des Tokens (als Unix-Zeitstempel). (RFC 7519 §4.1.4)
  • iat - Issued At. Das Erstelldatum des Tokens. (RFC 7519 §4.1.6)
  • nbf - Not Before. Ein Zeitpunkt, bevor der Token ungĂŒltig ist. (RFC 7519 §4.1.5)
  • jti - JWT ID. Eine einzigartige IdentitĂ€t fĂŒr Verifizierung und gegen Replay-Angriffe. (RFC 7519 §4.1.7)

JWT vs Session: Wann nutzt man was?

JWT (Stateless)Session Token (Stateful)
Server-SpeicherNeinJa (Datenbank)
MicroservicesExzellentKompliziert
Sperren / RevokeSchwerEinfach
GrĂ¶ĂŸeGrĂ¶ĂŸerSehr klein
Beste Lösung fĂŒrAPI/MobileTraditionelles Web
Im Falle eines HacksRisiko bis expSofort sperrbar

Verwenden Sie JWTs: FĂŒr dezentrale APIs, Single-Page und Mobile Apps.

Verwenden Sie Sessions: FĂŒr sichere Monolithen und strikte Revocation-Anforderungen.

JWT Algorithmen erklÀrt

AlgorithmusTypSchlĂŒssel-TypEinsatz
HS256HMAC-SHA256Geheim (Symmetrisch)Einzelserver
RS256RSA-SHA256Public/Private (Asymmetrisch)Multi-System Verifizierung
ES256ECDSA P-256Elliptic CurveHohe Leistung
PS256RSA-PSS SHA256Public/PrivateHöchste Sicherheit
noneNoneKeiner⚠ Sehr gefĂ€hrlich! Niemals in Produktion nutzen.

RS256 ist der Standard fĂŒr die meisten Produktionsumgebungen, weil der Private Key geheim bleibt.

Security Best Practices (2026)

  • Verifizieren Sie IMMER die Signatur mathematisch im Code
  • Setzen Sie ein kurzes Expiration Date (max. 1 Stunde)
  • Keine Passwörter oder Geheimnisse in das Payload packen!
  • Verwenden Sie ausschließlich gesicherte HTTPS / TLS-Netzwerke
  • Nutzen Sie httpOnly Cookies auf Websites anstatt LocalStorage
  • Implementieren Sie Refresh-Tokens fĂŒr lĂ€ngere Sessions
  • ÜberprĂŒfen Sie 'iss' (Issuer) und 'aud' (Audience)
  • Blockieren Sie manuell jegliches 'alg': 'none'
  • Erstellen Sie eine Invalidierungs-Blockliste bei kompromittierten Tokens

JWT EntschlĂŒsselung in Code

So verwenden Sie es in realer Software.

JavaScript (Node/Browser)

// Decode without verification (read-only, same as this tool)
function decodeJWT(token) {
  const [header, payload] = token.split('.');
  const decode = str => JSON.parse(atob(str.replace(/-/g, '+').replace(/_/g, '/')));
  return { header: decode(header), payload: decode(payload) };
}

const { header, payload } = decodeJWT(yourToken);
console.log(payload.exp); // expiry timestamp

Python

import base64, json

def decode_jwt_payload(token):
    payload = token.split('.')[1]
    # Add padding
    payload += '=' * (4 - len(payload) % 4)
    return json.loads(base64.urlsafe_b64decode(payload))

claims = decode_jwt_payload(your_token)
print(claims['exp'])  # expiry timestamp

Go

import (
    "encoding/base64"
    "encoding/json"
    "strings"
)

func decodeJWTPayload(token string) (map[string]interface{}, error) {
    parts := strings.Split(token, ".")
    payload, _ := base64.RawURLEncoding.DecodeString(parts[1])
    var claims map[string]interface{}
    json.Unmarshal(payload, &claims)
    return claims, nil
}

Der wirkliche Grund fĂŒr JWT

Die wahre StÀrke besteht in der globalen Verteilbarkeit der Validierung ohne Datenbankzugriff.

Frequently Asked Questions

Was ist ein JWT Token?

Ein JSON Web Token ist ein offener Industrie-Standard aus drei codierten URL-sicheren Segmenten, mit dem Daten verifiziert und sicher ausgetauscht werden können.

Wie entschlĂŒssele ich ein JWT?

FĂŒgen Sie den Token ohne Anpassungen in den Textbereich oben ein und wir codieren ihn fĂŒr Sie ins lesbare JSON um.

Brauche ich einen geheimen SchlĂŒssel?

Nein. Ein Standard-JWT ist nur zur Sicht geprĂŒft (Base64url), nicht gekapselt. Ein Angreifer kann alle Daten auslesen, weshalb Sie keine Sensoren nutzen sollten. Sie brauchen den Secret Key nur zum PrĂŒfen der IntegritĂ€t.

Ist dieses Online-Tool sicher?

Ja. EveryTool nutzt 100% In-Browser Code (State-of-the-Art TypeScript JavaScript). Keiner unserer Server erhÀlt je Ihre Tokens.

Wann ist ein Token ungĂŒltig?

Wenn 'exp' ĂŒberschritten ist, ist er abgelaufen, was durch unser Banner sofort erkennbar wird.

Was ist JWT Encode vs Decode?

Encode komprimiert Ihre JS Objekte zu einem Basis64url-Token. Decode macht den Token fĂŒr Entwickler wieder lesbar.

Was ist die Gefahr von 'alg' none?

Es gaukelt den Bibliotheken vor, es gĂ€be keine SignaturprĂŒfung. Das System vertraut dann jedem Payload, auch einem gefĂ€lschten.

Sind Daten im Payload verschlĂŒsselt?

Nein! Verwenden Sie JWE (JSON Web Encryption), wenn Sie den Payload kryptografisch kodieren wollen.

Was bedeutet 'Not Before'?

Das bedeutet, dass dieser Token in der Zukunft freigegeben wird. Erst ab dem Zeitpunkt gestattet der Server den Zugriff.

EXP und IAT?

IAT = Erstellt um. EXP = Tot um. Zeitversatz ist die ValiditÀtsdauer.

HTTP vs HTTPS?

Eine Übertragung mit HTTP ist nicht verschlĂŒsselt und leicht abzufangen (Man in the middle Attacke). Nutzen Sie HTTPS/TLS.

Was ist JWS vs JWT?

Meistens ist JWT gleich JWS (Web Signature). FĂŒr verborgene Inhalte nennt es sich JWE.

Typische AnsprĂŒche (Claims)?

Drei offizielle: sub (wer st es), iss (wer hat es generiert) und exp (gĂŒltig bis). Customizing bietet Raum fĂŒr eigene Daten wie Role, Name oder Email.

Related Tools

Bild zu Base64

Kodieren Sie Bilder als Base64-Strings und dekodieren Sie unbegrenzt ohne Installationen.

Try Now

URL Decoder

GĂŒltige Links durch ASCII Bereinigungen.

Try Now

Base64 Formate

Strings und Codes dechiffrieren in Minuten.

Try Now

JSON Validator

API Formatierungen elegant lesbar gemacht in der Editor Maske mit Warnsystem kostenlos bei Formatfehler exakt und sofort blitzschnell.

Try Now

Farbcodes Umwandler

FĂŒr Design.

Try Now

WörterzÀhler Text

Die Anzahl aller Wörter eines riesigen Strings von Text direkt visuell zĂ€hlen um Vorgaben abgleichend schnell einzuhalten fĂŒr SEO Texte im Web kostenfrei verlĂ€sslich perfekt.

Try Now