JWT-Decoder

JWT-Token einfügen, um Header und Payload zu dekodieren. Keine Signaturprüfung.

Best Practices zur JWT-Inspektion


Das Dekodieren eines Tokens hilft, Claims beim Auth-Debugging zu prüfen, beweist jedoch keine Authentizität.

  • exp- und nbf-Zeitstempel prüfen, bevor geschützte Routen getestet werden.
  • aud-, iss- und sub-Werte anhand der Umgebungseinstellungen prüfen.
  • Dekodierte Payload-Daten als nicht vertrauenswürdig behandeln, bis die Signaturprüfung erfolgreich ist.

JWT-Decoder FAQ


Überprüft das Dekodieren die Token-Signatur?

Nein. Das Dekodieren liest nur Token-Segmente und überprüft die Authentizität nicht.

Warum sehen exp und iat wie große Zahlen aus?

JWT-Zeitangaben sind Unix-Zeitstempel, üblicherweise in Sekunden seit der Epoch.

Kann ich dekodierte Payloads sicher teilen?

Nur wenn die Claims keine sensiblen Daten enthalten. Token können private Benutzerinformationen enthalten.

Wikipedia — JSON Web Token