Base64URL und JWT: Decodieren ist kein Vertrauen
JWT nutzt Base64URL. Lies Werte, aber verifiziere sie vor jeder Entscheidung.
Drei URL-sichere Teile
Ein signiertes JWT besteht oft aus Header, Payload und Signatur, getrennt durch Punkte.
Zwei Zeichen wechseln
Base64URL ersetzt + durch - und / durch _. JWT entfernt ausserdem abschliessendes = Padding.
Lesen validiert nicht
Du kannst iss, sub, aud oder exp lesen. Das beweist weder Signatur noch Aussteller. Der Server muss Signatur oder MAC mit dem richtigen Schluessel pruefen.
alg kontrollieren
Die Anwendung legt erlaubte Algorithmen fest. Ein unerwarteter alg Wert muss fehlschlagen.
Klarer Debug-Ablauf
Nach Punkten trennen, erste zwei Teile als Base64URL decodieren, bei Bedarf Padding ergaenzen, dann Signatur, Issuer, Audience und Zeiten pruefen.