JWT-Parser
JWT Header, Payload und Signatur dekodieren und anzeigen. Nur Dekodierung, keine Signaturprüfung.
JWT-Token0
Über dieses ToolKostenloser Online-JWT-Parser. Fügen Sie ein JWT ein und sehen Sie Header (Algorithmus, Typ) und Payload (Claims wie sub, exp, iat) in lesbarem JSON. Die Signatur wird in Base64URL angezeigt. Alle Verarbeitung läuft im Browser; kein Token wird an einen Server gesendet. Dieses Tool verifiziert keine Signaturen—nur für Debugging und Inspektion.
VerwendungFügen Sie Ihr JWT in das Eingabefeld ein (mit oder ohne "Bearer "-Präfix), dann auf "Dekodieren" klicken. Header und Payload werden als formatiertes JSON angezeigt. Sie können jeden Teil kopieren. Bei ungültigem oder fehlerhaftem Token erscheint eine Fehlermeldung.
Was ist JWT?JWT (JSON Web Token) ist eine kompakte, URL-sichere Darstellung von Ansprüchen zwischen zwei Parteien. Es wird häufig für Authentifizierung und Autorisierung verwendet: Nach der Anmeldung gibt der Server ein JWT aus, das der Client bei späteren Anfragen mitsendet. Der Server kann das Token verifizieren, um den Benutzer zu identifizieren, ohne Sitzungszustand zu speichern.JWT-StrukturEin JWT hat drei durch Punkte getrennte Teile: Header.Payload.Signatur. Jeder Teil ist Base64URL-kodiert. Der Header enthält meist den Algorithmus (z. B. HS256, RS256) und den Typ (JWT). Der Payload enthält Claims (z. B. Benutzer-ID, Ablaufzeit). Die Signatur wird aus Header und Payload mit einem Geheimnis oder privaten Schlüssel berechnet, um Manipulation zu verhindern.Häufige Claimssub (subject): oft die Benutzer-ID. exp (expiration): Unix-Zeitstempel der Ablaufzeit. iat (issued at): Unix-Zeitstempel der Ausstellung. Weitere benutzerdefinierte Claims (z. B. Rollen, E-Mail) möglich. Dieses Tool zeigt iat und exp in lesbarer Zeit an, falls vorhanden.Hinweis zur SicherheitDieses Tool dekodiert nur den Token; es verifiziert die Signatur nicht. Jeder kann ein JWT dekodieren und den Payload lesen—JWTs sind nicht verschlüsselt. Geben Sie niemals sensible Daten (z. B. Passwörter) in den Payload. Verifizieren Sie die Signatur immer serverseitig, bevor Sie einem Token vertrauen.