JWT Decoder
Free online JWT decoder and validator - Decode JSON Web Tokens locally
Privacy-first
Decode tokens locally
Instant decode
Real-time JWT parsing
Security analysis
Algorithm & expiry check
JWT Token
Paste your JWT token below to decode and inspect its contents
Decoded Output
Enter a JWT token and click "Decode Token"
JWT Token
JWT-Decoder — Häufig gestellte Fragen
Was ist ein JWT (JSON Web Token)?
JWT ist ein offener Standard (RFC 7519) zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt. Ein JWT besteht aus drei Teilen: Header (Algorithmus und Token-Typ), Payload (Claims) und Signatur (Verifikation). JWTs werden vor allem für Authentifizierung und Informationsaustausch eingesetzt.
Ist es sicher, JWTs hier zu dekodieren?
Ja. Die Dekodierung erfolgt vollständig in Ihrem Browser — JWT-Daten werden zu keinem Zeitpunkt an einen Server gesendet. Beachten Sie jedoch: JWTs sind nicht verschlüsselt, sondern nur Base64-codiert. Jede Person kann sie dekodieren — speichern Sie deshalb niemals sensible Informationen in einem JWT-Payload.
Was bedeuten die einzelnen Bestandteile?
Header: enthält Token-Typ (JWT) und Signatur-Algorithmus. Payload: enthält die Claims (Aussagen über den Nutzer und zusätzliche Metadaten). Signatur: dient der Prüfung, dass das Token nicht manipuliert wurde. Für die Verifikation der Signatur wird der geheime Schlüssel benötigt.
Wie kann ich die Signatur verifizieren?
Die Signaturprüfung benötigt den geheimen Schlüssel (bei HMAC-Verfahren) bzw. den öffentlichen Schlüssel (bei RSA/ECDSA), mit dem das Token signiert wurde. Dieses Werkzeug dekodiert JWTs ausschließlich — es kann Signaturen ohne den passenden Schlüssel nicht überprüfen.
Was ist ein JWT (JSON Web Token)?
JWT ist ein offener Standard (RFC 7519) zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt. Ein JWT besteht aus drei Teilen: Header (Algorithmus und Token-Typ), Payload (Claims) und Signatur (Verifikation). JWTs werden vor allem für Authentifizierung und Informationsaustausch eingesetzt.
Ist es sicher, JWTs hier zu dekodieren?
Ja. Die Dekodierung erfolgt vollständig in Ihrem Browser — JWT-Daten werden zu keinem Zeitpunkt an einen Server gesendet. Beachten Sie jedoch: JWTs sind nicht verschlüsselt, sondern nur Base64-codiert. Jede Person kann sie dekodieren — speichern Sie deshalb niemals sensible Informationen in einem JWT-Payload.
Was bedeuten die einzelnen Bestandteile?
Header: enthält Token-Typ (JWT) und Signatur-Algorithmus. Payload: enthält die Claims (Aussagen über den Nutzer und zusätzliche Metadaten). Signatur: dient der Prüfung, dass das Token nicht manipuliert wurde. Für die Verifikation der Signatur wird der geheime Schlüssel benötigt.
Wie kann ich die Signatur verifizieren?
Die Signaturprüfung benötigt den geheimen Schlüssel (bei HMAC-Verfahren) bzw. den öffentlichen Schlüssel (bei RSA/ECDSA), mit dem das Token signiert wurde. Dieses Werkzeug dekodiert JWTs ausschließlich — es kann Signaturen ohne den passenden Schlüssel nicht überprüfen.