Zum Inhalt springen
Toova
Alle Werkzeuge

JWT Decoder & Inspektor

Datenschutz by Design — läuft vollständig in Ihrem Browser

Dekodieren Sie ein JWT (JSON Web Token) und prüfen Sie seinen Header und Payload, ohne den Token irgendwohin zu senden. Toova zeigt den Algorithmus, die Claims, Ausstellungs- und Ablaufzeitstempel in lesbarer Form und kennzeichnet bereits abgelaufene Tokens – alles lokal, im Browser.

Warum JWTs lokal dekodieren

Jeder andere JWT-Decoder bittet Sie, den Token in ein Remote-Formular einzufügen. Das Problem ist offensichtlich – wenn der Token gültig ist, kann derjenige, der diesen Server betreibt, Ihre Identität annehmen. Toova dekodiert den Token vollständig im Browser, ohne Upload und ohne Logging. Sie können ein Produktions-Access-Token einfügen, die Claims prüfen und verifizieren, dass er korrekt aufgebaut ist, ohne ihn an einen Dritten weiterzugeben.

Was Sie in der dekodierten Ausgabe sehen

Toova teilt den Token in Header, Payload und Signatur auf. Der Header zeigt den Algorithmus und die Schlüssel-ID. Der Payload ist hübsch formatierter JSON mit jedem Standard-Claim (iss, sub, aud, exp, nbf, iat, jti) in lesbarer Form. Zeitstempel werden in Ihre lokale Zeitzone übersetzt, und das Werkzeug kennzeichnet, ob der Token derzeit gültig, abgelaufen oder noch nicht aktiv ist.

Nur dekodieren, niemals vertrauen

Das Dekodieren eines JWT ist nicht dasselbe wie seine Verifizierung. Der Decoder zeigt Ihnen, was der Token zu sein behauptet, prüft aber nicht die Signatur – das erfordert den Signierschlüssel, der auf dem Server liegt, der den Token ausgestellt hat. Verwenden Sie Toova zum Debuggen der Claim-Struktur, Ablaufzeit und Audience-Werte; verwenden Sie Ihre Auth-Bibliothek, um Vertrauen zu verifizieren, bevor Sie Zugriff gewähren.

Häufig gestellte Fragen

Verifiziert Toova die JWT-Signatur?
Nein. Die Verifizierung erfordert den Signierschlüssel, den nur der Aussteller besitzt. Toova dekodiert den Header und Payload, damit Sie die Claims prüfen können, aber das Vertrauen in den Token erfordert weiterhin eine serverseitige Verifizierung mit dem Geheimnis oder öffentlichen Schlüssel.
Wird mein Token irgendwohin gesendet?
Nein. Der Decoder läuft vollständig im Browser. Der Token verlässt das Gerät nicht, und es gibt null ausgehende Netzwerkanfragen während der Dekodierung. Öffnen Sie die DevTools und prüfen Sie es selbst.
Kann ich einen abgelaufenen Token dekodieren?
Ja. Der Decoder funktioniert unabhängig vom Ablauf. Er kennzeichnet den Token als abgelaufen und zeigt, wann der exp-Claim überschritten wurde – das hilft beim Debuggen, warum eine Anfrage abgelehnt wurde.
Was sagt mir das alg-Feld?
Es identifiziert den Signaturalgorithmus – HS256 für HMAC-SHA256, RS256 für RSA, ES256 für ECDSA und so weiter. Wenn alg den Wert 'none' hat, ist der Token unsigniert, was fast immer ein Sicherheitsfehler ist.
Warum sind die Zeitstempel Zahlen?
JWT-Claims verwenden Unix-Epoch-Sekunden. Toova übersetzt iat, nbf und exp in Ihre lokale Zeitzone, damit Sie sie lesen können, und zeigt gleichzeitig den Rohwert als Referenz an.