JWT-Decoder
JWT-Token einfügen, um Header und Payload zu dekodieren. Keine Signaturprüfung.
Best Practices zur JWT-Inspektion
Das Dekodieren eines Tokens hilft, Claims beim Auth-Debugging zu prüfen, beweist jedoch keine Authentizität.
- exp- und nbf-Zeitstempel prüfen, bevor geschützte Routen getestet werden.
- aud-, iss- und sub-Werte anhand der Umgebungseinstellungen prüfen.
- Dekodierte Payload-Daten als nicht vertrauenswürdig behandeln, bis die Signaturprüfung erfolgreich ist.
JWT-Decoder FAQ
Überprüft das Dekodieren die Token-Signatur?
Nein. Das Dekodieren liest nur Token-Segmente und überprüft die Authentizität nicht.
Warum sehen exp und iat wie große Zahlen aus?
JWT-Zeitangaben sind Unix-Zeitstempel, üblicherweise in Sekunden seit der Epoch.
Kann ich dekodierte Payloads sicher teilen?
Nur wenn die Claims keine sensiblen Daten enthalten. Token können private Benutzerinformationen enthalten.