Dekodieren Sie ein JWT, um Claims zu lesen – ohne die Dekodierung als Verifikation zu behandeln
Drei Base64url-Segmente. Wir parsen Header + Payload zu JSON und geben Claims formatiert aus (`exp` als lesbare Zeit, wenn vorhanden). **Wir prüfen keine Signaturen** auf dieser Seite – das muss klar sein.
Wann verwenden?
Debuggen von Authentifizierungsfehlern und Überprüfen von aud/iss/exp bei einem Token, das Sie bereits haben – nicht zum Fälschen von Sitzungen.
Beispiele
So funktioniert's
Aufteilen an `.` → base64url dekodieren → JSON.parse Header/Payload. Optionale Warnung, wenn alg=none. Signaturprüfung optional/eingeschränkt – dies ist keine vollständige Auth-Bibliothek.
Häufige Fallstricke
- Dekodieren ≠ verifizieren – alg=none nicht vertrauen.
- Payload ist lesbares Base64; Geheimnisse gehören nicht in JWT-Ansprüche.
- exp ist normalerweise Sekunden seit dem 01.01.1970 – bei Bedarf das Zeitstempel-Werkzeug verwenden.
Wie unterscheidet sich das
Spezialisierter Base64url-Einblick für JWTs. Base64-Decode ist allgemein. JSON-Formatter hilft beim Lesen des Payload-JSON.
FAQ
Verwandte Werkzeuge
Läuft im Browser. Nichts wird hochgeladen. Kein Sicherheitsprodukt — Hashes und JWT-Dekodierung dienen der Fehlersuche, nicht der Passwortspeicherung oder Authentifizierungsberatung.