JSON-Web-Token mit Echtzeit-Verarbeitung und Sicherheitsprüfungen validieren
Professionelle Tools für
Fügen Sie einen JWT ein und sehen Sie sofort den dekodierten Header, Payload und die Signatur mit farbcodierter Anzeige
Unterstützt HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) und PSS-Algorithmen
Erkennt und zeigt automatisch den Ablaufstatus des Tokens mit verbleibender Zeit oder Zeit seit Ablauf an
Zeigt alle Standard-Claims (iss, sub, aud, exp, iat) und benutzerdefinierte Claims mit lesbaren Beschriftungen an
Erstellen Sie neue JWT-Token mit benutzerdefinierten Headern, Payloads und Geheimnissen zum Testen und Entwickeln
Die gesamte Token-Verarbeitung erfolgt in Ihrem Browser — Ihre Geheimnisse und Token werden niemals an einen Server gesendet
Häufige Fragen zu
Ein JWT (JSON Web Token) ist ein kompaktes Token-Format zur Authentifizierung. Er besteht aus drei Base64URL-kodierten Teilen, getrennt durch Punkte: dem Header (Algorithmus und Typ), dem Payload (Claims wie Benutzer-ID und Ablaufzeit) und der Signatur (kryptografischer Beweis, dass der Token nicht manipuliert wurde).
Ja. Die gesamte Dekodierung erfolgt lokal in Ihrem Browser — es werden keine Daten an einen Server gesendet. Beachten Sie jedoch, dass JWT-Payloads nur Base64-kodiert, nicht verschlüsselt sind. Jeder mit dem Token kann den Payload lesen, speichern Sie also niemals Geheimnisse in JWT-Claims.
HS256 verwendet einen gemeinsamen geheimen Schlüssel (symmetrisch) — sowohl Ersteller als auch Prüfer benötigen dasselbe Geheimnis. RS256 verwendet ein öffentlich-privates Schlüsselpaar (asymmetrisch) — der Ersteller signiert mit einem privaten Schlüssel und jeder kann mit dem öffentlichen Schlüssel verifizieren. Verwenden Sie RS256 für öffentliche APIs.
Fügen Sie den Token ein und unser Tool liest automatisch den 'exp'-Claim und vergleicht ihn mit der aktuellen Zeit. Es zeigt an, ob der Token gültig, abgelaufen oder ohne Ablaufzeit ist, zusammen mit der genauen verbleibenden oder verstrichenen Zeit.
Ja. Geben Sie einen benutzerdefinierten Header und Payload ein, geben Sie ein Geheimnis an, und das Tool generiert einen signierten JWT. Dies ist nützlich zum Testen der API-Authentifizierung lokal, zum Erstellen von Mock-Token für die Entwicklung und zum Erlernen der JWT-Signierung.
JWT-Payloads sind Base64-kodiert, nicht verschlüsselt — jeder mit dem Token kann den Inhalt dekodieren und lesen. Speichern Sie nur nicht-sensible Bezeichner (Benutzer-ID, Rollen, Ablaufzeit) in JWTs. Halten Sie sensible Daten serverseitig und referenzieren Sie sie per ID.