JWT Tokens erklärt: Struktur, Sicherheit, Best Practices

JSON Web Tokens tauchen in fast jedem modernen Authentifizierungssystem auf. Dieser lange String in Ihrem Authorization-Header — eyJhbGciOiJIUzI1NiIs... — ist ein JWT, und zu verstehen, was darin steckt und wie es funktioniert, ist essentiell für den Aufbau sicherer Anwendungen.

Was ist ein JWT?

Ein JWT ist ein kompaktes, URL-sicheres Token-Format, das Claims (Daten) zwischen zwei Parteien transportiert. Es ist eigenständig — das Token selbst enthält die Informationen, die benötigt werden, um seine Authentizität zu überprüfen und Benutzerdaten zu extrahieren, ohne eine Datenbankabfrage zu erfordern.

Decodieren Sie jedes JWT sofort mit unserem JWT Encoder/Decoder. Fügen Sie ein Token ein und sehen Sie Header, Payload und Signatur aufgeschlüsselt.

JWT-Struktur: Drei Teile

Jedes JWT hat drei Base64URL-codierte Teile, getrennt durch Punkte:

header.payload.signature

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Gibt den Signaturalgorithmus und den Token-Typ an.

Payload

{
  "sub": "user123",
  "name": "Alex Chen",
  "role": "admin",
  "iat": 1708963200,
  "exp": 1709049600
}

Enthält Claims — die eigentlichen Daten. Standard-Claims umfassen sub (Subject), iat (Issued At) und exp (Expiration).

Signatur

Wird durch Signieren des codierten Headers und Payloads mit einem geheimen Schlüssel erstellt. Dies verhindert Manipulation — jede Änderung macht die Signatur ungültig.

Wie JWT-Authentifizierung funktioniert

Benutzer meldet sich mit Anmeldedaten an
Server erstellt ein JWT mit Benutzer-Claims und signiert es
Server gibt das JWT an den Client zurück
Client sendet JWT im Authorization-Header für nachfolgende Anfragen
Server überprüft die Signatur und extrahiert Claims — keine Datenbankabfrage nötig

Sicherheits-Best-Practices

Signatur immer überprüfen

Vertrauen Sie einem JWT niemals, ohne seine Signatur zu überprüfen. Decodieren Sie den Payload mit unserem JWT Decoder, um Tokens während der Entwicklung zu inspizieren, aber überprüfen Sie in der Produktion immer kryptographisch.

Kurze Ablaufzeiten verwenden

JWTs können nach der Ausstellung nicht widerrufen werden (im Gegensatz zu Session-Tokens). Halten Sie die Ablaufzeiten kurz (15-60 Minuten) und verwenden Sie Refresh-Tokens für längere Sitzungen.

Den richtigen Algorithmus wählen

HS256 — HMAC mit SHA-256, symmetrischer Schlüssel. Einfach, schnell, gut für Single-Server-Anwendungen
RS256 — RSA mit SHA-256, asymmetrische Schlüssel. Besser für verteilte Systeme, in denen mehrere Dienste Tokens überprüfen
Niemals "none" verwenden — Die alg: "none"-Schwachstelle hat reale Sicherheitsverletzungen verursacht

Den geheimen Schlüssel schützen

Ihr JWT-Signaturschlüssel ist der Hauptschlüssel Ihres Authentifizierungssystems. Speichern Sie ihn sicher, rotieren Sie ihn regelmäßig und legen Sie ihn niemals im clientseitigen Code offen.

Keine sensiblen Daten im Payload speichern

JWT-Payloads sind Base64-codiert, nicht verschlüsselt. Jeder kann sie decodieren. Fügen Sie niemals Passwörter, Kreditkartennummern oder Geheimnisse ein.

Häufige JWT-Fehler

Ablauf nicht validieren — Überprüfen Sie immer den exp-Claim
JWTs in localStorage speichern — Anfällig für XSS-Angriffe. Verwenden Sie stattdessen httpOnly-Cookies
Übergroße Tokens — JWTs gehen in jeden Request-Header. Halten Sie Payloads schlank
HTTPS nicht verwenden — JWTs, die über HTTP gesendet werden, können abgefangen werden

Häufig gestellte Fragen

Kann ich ein JWT widerrufen?

Nicht direkt — JWTs sind zustandslos. Workarounds umfassen kurze Ablaufzeiten, Token-Blacklists oder das Ändern des Signaturschlüssels (was alle Tokens ungültig macht).

Sollte ich JWTs für Sessions verwenden?

JWTs funktionieren gut für API-Authentifizierung und Microservices. Für traditionelle Web-Sessions sind serverseitige Sessions mit Cookies oft einfacher und sicherer.

Wie unterscheidet sich JWT von OAuth?

OAuth ist ein Autorisierungs-Framework. JWT ist ein Token-Format. OAuth kann JWTs als Access-Tokens verwenden, aber sie lösen unterschiedliche Probleme.