Skip to main content
CheckTown
Dev-Tools

JWT-Decoder: JSON Web Tokens online prüfen und debuggen

Veröffentlicht 5 Min. Lesezeit
In diesem Artikel

Was ist ein JWT?

Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Token, das Claims zwischen zwei Parteien darstellt. JWTs sind das Rückgrat moderner Authentifizierungs- und Autorisierungssysteme – sie werden nach der Anmeldung von Servern ausgestellt und mit nachfolgenden API-Anfragen gesendet, um die Identität nachzuweisen.

Ein JWT besteht aus drei durch Punkte getrennten, Base64URL-kodierten Teilen: dem Header (Algorithmus und Token-Typ), der Payload (Claims/Daten) und der Signatur (Integritätsprüfung). Die Signatur wird mit einem geheimen Schlüssel oder einem privaten Schlüssel erzeugt und macht Manipulationen am Token erkennbar.

So funktioniert das Dekodieren von JWTs

Das Dekodieren eines JWT legt seinen Inhalt offen, ohne die Signatur zu prüfen – nützlich zum Debuggen, aber nicht für Sicherheitsentscheidungen.

  • Header dekodieren – zeigt den Signatur-Algorithmus (HS256, RS256 usw.) und den Token-Typ
  • Payload dekodieren – legt alle Claims offen, darunter Benutzer-ID, Rollen, Ablaufzeit und benutzerdefinierte Daten
  • Ablaufprüfung – berechnet anhand des exp-Claims, ob das Token abgelaufen ist

Kostenlos testen – keine Registrierung erforderlich

JWT-Token dekodieren →

Wann sollte man JWTs dekodieren?

Das Dekodieren von JWTs ist bei der API-Entwicklung und in Debugging-Abläufen unverzichtbar.

  • API-Debugging – Token-Inhalte prüfen, wenn Anfragen mit 401- oder 403-Fehlern scheitern
  • Integrationstests – überprüfen, ob Ihr Auth-Server die korrekten Claims in ausgestellte Tokens einbettet
  • Diagnose des Token-Ablaufs – schnell prüfen, ob Authentifizierungsfehler durch abgelaufene Tokens verursacht werden

Häufig gestellte Fragen

Kann ich dem dekodierten JWT-Inhalt vertrauen?

Das Dekodieren legt die Payload offen, prüft aber nicht die Signatur. Treffen Sie niemals Sicherheitsentscheidungen anhand dekodierter Token-Inhalte, ohne die Signatur mit dem korrekten geheimen oder öffentlichen Schlüssel verifiziert zu haben. Der Decoder von CheckTown dient ausschließlich der Inspektion.

Was sollte ich niemals in eine JWT-Payload schreiben?

Speichern Sie niemals sensible Informationen wie Passwörter, Kreditkartennummern oder private Schlüssel in JWT-Payloads. JWTs sind kodiert, nicht verschlüsselt – wer das Token abfängt, kann die Payload auch ohne den Signaturschlüssel dekodieren.

Was ist der Unterschied zwischen HS256 und RS256?

HS256 (HMAC-SHA256) verwendet ein einziges gemeinsames Geheimnis für Signierung und Verifizierung. RS256 (RSA-SHA256) nutzt einen privaten Schlüssel zum Signieren und einen öffentlichen Schlüssel zum Verifizieren. RS256 wird in verteilten Systemen bevorzugt, in denen viele Dienste Tokens verifizieren müssen, ohne Zugriff auf das Signaturgeheimnis zu haben.

Verwandte Tools