Browser-Werkzeug

JWT-Decoder und Signaturprüfer

Header und Payload dekodieren, Zeit-Claims prüfen und optional die Signatur verifizieren.

Lokal im Browser · Kein Upload · Kein Konto

Claims-Übersicht

JWT-Signaturprüfung

Optional: HMAC-Geheimnis oder öffentlichen PEM-Schlüssel zur Prüfung eingeben.

HS nutzt ein gemeinsames Geheimnis; RS, PS und ES einen öffentlichen PEM-Schlüssel.

Nicht geprüft

Dekodieren ist keine Verifikation. Claims bleiben unvertrauenswürdig, bis Signatur, Aussteller, Zielgruppe, Zeitfenster und Anwendungsregeln geprüft sind.

So funktioniert dieses Werkzeug

Header und Payload dekodieren, Zeit-Claims prüfen und optional die Signatur verifizieren.

Nutze das Beispiel, um Eingabe und Metadaten zu prüfen, und ersetze es dann durch deinen Wert.

Datenschutz und sichere Nutzung

Die Verarbeitung bleibt in diesem Browser-Tab. Große Werte können viel Gerätespeicher benötigen.

Dekodieren ist keine Verifikation. Claims bleiben unvertrauenswürdig, bis Signatur, Aussteller, Zielgruppe, Zeitfenster und Anwendungsregeln geprüft sind.

Häufige Fehler und Ursachen

  • Die Eingabe ist leer, fehlerhaft oder hat nicht das erwartete Format.
  • Der gewählte Modus passt nicht zu Alphabet, Dateityp oder Darstellung.
  • Sehr große Werte können den Speicher erschöpfen, weil kodierte und dekodierte Kopien gleichzeitig vorliegen.
  • Eine erfolgreiche Umwandlung beweist nicht, dass der Inhalt sicher oder vertrauenswürdig ist.

Entsprechende Befehle

Nutze eine vorhandene Laufzeit oder Shell. Prüfe fremde Eingaben und gib Binärdaten nicht direkt im Terminal aus.

Python

import base64, json
h, p, s = token.split('.')
decode = lambda value: json.loads(base64.urlsafe_b64decode(value + '=' * (-len(value) % 4)))
print(decode(h), decode(p))

JavaScript

const [header, payload] = token.split('.');
const decode = value => JSON.parse(Buffer.from(value, 'base64url').toString('utf8'));
console.log(decode(header), decode(payload));

Shell

IFS=. read -r header payload signature <<EOF
$TOKEN
EOF
printf '%s' "$payload" | basenc --base64url --decode

Standards und offizielle Referenzen