JWT Decoder online — kostenlos Token-Header & Payload entschlüsseln
Dekodieren Sie ein JSON Web Token im Browser und untersuchen Sie Header und Payload. Signatur wird NICHT validiert — nur Debugging.
Fügen Sie unten ein JWT ein. Header und Payload werden lokal aus Base64URL dekodiert; das Token verlässt die Seite nicht.
Häufige Anwendungsfälle
- 1OAuth-Access-Token inspizieren — Ablauf, Audience und Scopes prüfen.
- 2Drittanbieter-SSO-Fehler debuggen, indem man die vom IdP signierten Claims liest.
- 3Vor dem Integrationstest sicherstellen, dass die App den erwarteten JWT-Aufbau ausgibt.
Häufig gestellte Fragen
Warum wird die Signatur nicht geprüft?+
Verifizierung braucht den öffentlichen Schlüssel des Ausstellers (RS256/ES256) oder das Shared Secret (HS256) — eine Infrastrukturentscheidung. Benutzen Sie dafür jose / jsonwebtoken mit dem richtigen Schlüssel. Dieses Tool dekodiert nur.
Ist es sicher, mein Token hier einzufügen?+
Dekodierung läuft komplett im Browser; das Token verlässt die Seite nicht. Ein AKTIVES Access-Token trägt aber Ihre Identität — redigieren Sie nach dem Debug sensible Claims, wenn es weiter in Benutzung ist.
Warum wird mein Token zu Müll dekodiert?+
Wahrscheinlich ist es kein JWT. Echte JWTs haben immer drei Base64URL-Teile, getrennt durch Punkte (header.payload.signature). Opaque Tokens (Zufallsstrings) dekodieren nicht zu JSON.