Ratgeber

Base64URL und JWT: Decodieren ist kein Vertrauen

JWT nutzt Base64URL. Lies Werte, aber verifiziere sie vor jeder Entscheidung.

Drei URL-sichere Teile

Ein signiertes JWT besteht oft aus Header, Payload und Signatur, getrennt durch Punkte.

Zwei Zeichen wechseln

Base64URL ersetzt + durch - und / durch _. JWT entfernt ausserdem abschliessendes = Padding.

Lesen validiert nicht

Du kannst iss, sub, aud oder exp lesen. Das beweist weder Signatur noch Aussteller. Der Server muss Signatur oder MAC mit dem richtigen Schluessel pruefen.

alg kontrollieren

Die Anwendung legt erlaubte Algorithmen fest. Ein unerwarteter alg Wert muss fehlschlagen.

Klarer Debug-Ablauf

Nach Punkten trennen, erste zwei Teile als Base64URL decodieren, bei Bedarf Padding ergaenzen, dann Signatur, Issuer, Audience und Zeiten pruefen.

Technische Quellen