JWT Encoder/Decoder: JSON-Tokens debuggen
JWT-Encoder, -Decoder und Sicherheitsprüfer für HS256, RS256, ES256, PS256 u. v. m. Claims prüfen, Signaturen verifizieren und Sicherheitsprobleme aufdecken.
Was ist der JWT Encoder/Decoder?
Der JWT Encoder/Decoder erstellt signierte JSON Web Tokens, dekodiert vorhandene Tokens, um deren Inhalte offenzulegen, und führt automatisierte Sicherheitsprüfungen gegen die Claims und Algorithmusauswahl eines Tokens durch. JSON Web Tokens sind das am häufigsten verwendete Format für zustandslose Authentifizierung — ein API-Gateway, OAuth-Anbieter oder Microservice generiert ein signiertes Token, und nachgelagerte Dienste verifizieren diese Signatur, anstatt einen zentralen Session-Store abzufragen. Wenn etwas schiefläuft (ein Token wird abgelehnt, ein Claim hat einen unerwarteten Wert, oder Sie müssen Ihre Signaturlogik überprüfen), müssen Sie das Token inspizieren, ohne benutzerdefinierten Code zu schreiben. Dieses Tool unterstützt die Kodierung mit 13 Algorithmen aus vier Familien, die Dekodierung mit Live-Ablaufstatus, Signaturverifizierung und einen Sicherheitsprüfmodus, der nach häufigen Schwachstellen sucht. Alle Operationen laufen clientseitig — Ihre Tokens und Signaturschlüssel verlassen den Browser niemals.
Hauptfunktionen
- Signierte JWTs mit HMAC (HS256/384/512) erstellen — geben Sie eine JSON-Nutzlast und ein gemeinsames Geheimnis ein; das Tool signiert das Token mithilfe der
SignJWT-API derjose-Bibliothek. - Unterstützung für RSA (RS256/384/512), ECDSA (ES256/384/512) und RSA-PSS (PS256/384/512) — fügen Sie einen PEM-kodierten privaten Schlüssel für asymmetrisches Signieren ein; das Tool importiert den Schlüssel mit
importPKCS8und signiert entsprechend. - Unsignierte Tokens mit
alg: none— das Erstellen unsignierter Tokens wird unterstützt, aber deutlich mit einem roten Warnfeld markiert. - Standard-Claims schnell hinzufügen — Ein-Klick-Schaltflächen fügen
iss,sub,aud,exp(+1 Stunde),exp(+1 Tag),iat,nbfundjti(eine zufällige UUID auscrypto.randomUUID()) in den Payload-Editor ein. - JWT-Header und -Payload dekodieren — das Einfügen eines beliebigen JWT zeigt sofort den geparsten Header und Payload als formatiertes JSON in nebeneinander angeordneten Feldern, mit dem Algorithmus und Typ unterhalb des Headers.
- Ablaufstatus prüfen — ein farbiges Statusbanner zeigt, ob das Token abgelaufen oder gültig ist, mit einem Live-Countdown (z. B. „Noch 2h 34m" oder das Ablaufdatum und die Uhrzeit).
- Signaturen verifizieren — geben Sie das Geheimnis (HMAC) oder den öffentlichen PEM-Schlüssel (asymmetrisch) an, und das Tool ruft
jwtVerifyauf, um die kryptografische Gültigkeit der Signatur zu bestätigen. - Farbcodierte JWT-Ausgabe — die drei Token-Segmente werden in Rot (Header), Lila (Payload) und Blau (Signatur) zur einfachen visuellen Identifikation angezeigt.
- Sicherheitsprüfmodus — analysiert ein Token auf 10 verschiedene Sicherheitsprobleme, darunter
alg: none, fehlendesexp, abgelaufene Tokens,nbfin der Zukunft, sehr lange Ablaufzeiten, schwache Algorithmen sowie fehlendeiss-,aud- undsub-Claims. - Batch-Modus — dekodiert mehrere JWT-Tokens auf einmal (eines pro Zeile) und gibt den Algorithmus und die Payload-Zusammenfassung für jeden aus.
- 100 % clientseitige Verarbeitung — verwendet das
jose-npm-Paket, das vollständig im Browser läuft; keine Tokens oder Schlüssel werden übertragen.
So verwenden Sie den JWT Encoder/Decoder
Schritt 1: Einen Modus auswählen
Oben im Tool erscheinen drei Modusschaltflächen: Kodieren, Dekodieren und Sicherheitsprüfung. Ein gelber Sicherheitshinweis unterhalb des Modusselektors erinnert Sie daran, dass Signaturschlüssel nicht in Tools eingegeben werden sollten, denen Sie nicht vertrauen — dies ist eine gute Praxis, die Sie lesen sollten, bevor Sie mit Schlüsselmaterial fortfahren.
Schritt 2: Ein JWT erstellen (Kodiermodus)
Wählen Sie einen Algorithmus. Ein gruppiertes Dropdown präsentiert die 13 unterstützten Algorithmen nach Familie: HMAC Symmetrisch (HS256, HS384, HS512), RSA Asymmetrisch (RS256, RS384, RS512), ECDSA Asymmetrisch (ES256, ES384, ES512), RSA-PSS Asymmetrisch (PS256, PS384, PS512) und Unsigniert (none). Der Standard ist HS256.
Bearbeiten Sie die Nutzlast. Ein JSON-Editor wird mit einer Beispielnutzlast vorausgefüllt, die sub, name und iat (auf den aktuellen Unix-Zeitstempel beim Laden der Seite gesetzt) enthalt. Bearbeiten Sie dies direkt. Verwenden Sie die Schaltflächen zum schnellen Hinzufügen von Claims, um Standard-Claims einzufügen, ohne Zeitstempel manuell einzugeben — durch Klicken auf + exp (+1h) wird ein exp-Wert eingefügt, der auf den aktuellen Unix-Zeitstempel plus 3600 Sekunden gesetzt ist.
Geben Sie den Signaturschlüssel ein. Bei HMAC-Algorithmen (HS256/384/512) akzeptiert ein Passwort-Eingabefeld das gemeinsame Geheimnis. Ein Ein-/Ausblend-Toggle zeigt den Wert an. Bei asymmetrischen Algorithmen akzeptiert ein mehrzeiliges Textfeld einen PEM-formatierten privaten Schlüssel, der mit -----BEGIN PRIVATE KEY----- beginnt.
Klicken Sie auf „JWT kodieren". Das signierte Token erscheint in einem farbcodierten Ausgabefeld. Eine „Kopieren"-Schaltfläche kopiert das vollständige Token. Eine Schaltfläche „Dieses Token dekodieren" überträgt es zur sofortigen Inspektion auf die Registerkarte „Dekodieren".
Schritt 3: Ein JWT dekodieren (Dekodiermodus)
Fügen Sie ein beliebiges JWT in das Token-Eingabefeld ein. Die Dekodierung erfolgt sofort — kein Schaltflächenklick erforderlich. Das Tool teilt das Token bei ., Base64URL-dekodiert jedes Segment mit einer benutzerdefinierten base64UrlDecode-Funktion und JSON-parst den Header und den Payload.
Wenn das Token einen exp-Claim hat, erscheint oberhalb der dekodieren Felder ein farbiges Banner:
- Grün mit einem Häkchen: „Token gültig — noch 2h 34m"
- Rot mit einem Warnsymbol: „Token abgelaufen — abgelaufen am [Datum/Uhrzeit]"
Header und Payload erscheinen in nebeneinander angeordneten formatierten JSON-Feldern, jeweils mit einer Kopierschaltfläche. Darunter rendert ein Claims-Detailfeld jeden Payload-Claim in seiner eigenen Karte. Zeitstempel-Claims (exp, iat, nbf) zeigen sowohl die rohe Unix-Ganzzahl als auch die menschenlesbare Datumszeichenfolge.
Der Abschnitt Signatur & Verifizierung zeigt die rohe Signaturzeichenfolge und bietet eine Schlüsseleingabe zur Verifizierung. Geben Sie das Geheimnis oder den öffentlichen Schlüssel ein und klicken Sie auf „Signatur verifizieren". Die Ergebniskarte wird grün für eine gültige Signatur oder rot für eine ungültige.
Schritt 4: Eine Sicherheitsprüfung durchführen (Prüfmodus)
Wechseln Sie zur Registerkarte „Sicherheitsprüfung" und fügen Sie ein Token ein. Befunde erscheinen sofort, wenn das Token geparst wird. Jede Befundkarte zeigt ein Schweregradbadge (KRITISCH, WARNUNG, HINWEIS oder INFO), einen Titel, eine einfache englische Beschreibung und eine spezifische Empfehlung. Die Prüfung überprüft 10 Bedingungen:
alg: noneoder fehlend — KRITISCH- Schwacher Algorithmus
HS1— WARNUNG - Symmetrischer Algorithmus in Verwendung — HINWEIS
- Fehlender
exp-Claim — WARNUNG - Token bereits abgelaufen — KRITISCH
- Ablauf mehr als ein Jahr in der Zukunft — HINWEIS
nbf-Claim liegt in der Zukunft — WARNUNG- Fehlender
iss-Claim — INFO - Fehlender
aud-Claim — INFO - Fehlender
sub-Claim — INFO
Wenn keine Probleme gefunden werden, zeigt eine INFO-Karte: „Keine größeren Probleme gefunden — fahren Sie fort, Tokens serverseitig zu validieren und Signaturschlüssel geheim zu halten."
Praktische Beispiele
Generieren eines Test-Tokens für eine API
Ihr Backend erwartet ein HS256-signiertes JWT mit sub-, iss-, aud- und exp-Claims. Wählen Sie im Kodiermodus HS256, beginnen Sie mit der Standard-Nutzlast und klicken Sie dann der Reihe nach auf + iss, + sub, + aud und + exp (+1h), um die vollständige Nutzlast zu erstellen. Geben Sie Ihr Test-Geheimnis ein und klicken Sie auf Kodieren. Kopieren Sie das resultierende Token in Ihr API-Test-Tool oder Ihren HTTP-Header. Wenn der Test fehlschlägt, fügen Sie das Token in den Dekodiermodus ein, um zu überprüfen, ob die Claims den Erwartungen entsprechen — das Claims-Detailfeld erleichtert die Bestätigung jedes Werts, ohne manuell Base64 zu dekodieren.
Debuggen eines „Token abgelaufen"-API-Fehlers
Ihre Anwendung erhält 401 Unauthorized-Antworten. Fügen Sie das Token aus dem Authorization-Header Ihrer Anwendung in den Dekodiermodus ein. Das Ablaufbanner zeigt Ihnen sofort, ob das Token abgelaufen ist und wann. Wenn es vor drei Minuten abgelaufen ist, liegt das Problem entweder an einem kurzlebigen Token ohne Aktualisierungslogik oder an einer Zeitabweichung zwischen Ihrem Client und dem Token-Aussteller. Die iat- und exp-Claims im Claims-Detailfeld zeigen das Problemfenster in menschenlesbaren Daten.
Tokens vor einer Sicherheitsüberprüfung prüfen
Fügen Sie vor einer Code-Überprüfung oder einem Penetrationstest JWT-Produktionsbeispiele in den Sicherheitsprüfmodus ein, um einfache Verbesserungen zu identifizieren. Ein Token, das mit KRITISCHEN Befunden für alg: none oder fehlendes exp zurückkommt, erfordert sofortige Aufmerksamkeit. Ein HINWEIS über einen symmetrischen Algorithmus in einer Multi-Service-Architektur ist es wert, während der Überprüfung besprochen zu werden. Die Prüfausgabe kann direkt in ein Sicherheitsbefunddokument kopiert und eingefügt werden.
Tipps und Best Practices
Verwenden Sie asymmetrische Algorithmen (RS256, ES256) für öffentliche APIs. HMAC (HS256)-Algorithmen verwenden ein gemeinsames Geheimnis: Jeder Dienst, der ein Token verifizieren kann, kann auch eines erstellen. Mit RS256 oder ES256 kann nur der Inhaber des privaten Schlüssels neue Tokens signieren, während jeder Dienst sie mit dem verteilten öffentlichen Schlüssel verifizieren kann. Der Sicherheitsprüfmodus markiert HS-Algorithmen aus diesem Grund mit einem HINWEIS.
Setzen Sie immer einen exp-Claim. Ein Token ohne Ablauf bleibt unbegrenzt gültig, sofern es nicht explizit widerrufen wird. Der Abschnitt „Claims schnell hinzufügen" bietet Ein-Klick-Schaltflächen für 1-Stunden- und 1-Tages-Ablaufzeiten. Zugriffstoken sollten innerhalb von Minuten bis einigen Stunden ablaufen; verwenden Sie Refresh-Tokens für längere Sitzungen.
Verwenden Sie jti für Einwegtokens. Die Schnellhinzufüge-Schaltfläche + jti (UUID) fügt einen eindeutigen Token-Identifier ein, der von crypto.randomUUID() generiert wird. Serverseitig können Sie diesen Wert speichern und überprüfen, um Token-Replay-Angriffe bei Passwort-Reset- oder E-Mail-Bestätigungsabläufen zu verhindern.
Verwenden Sie den none-Algorithmus nicht in der Produktion. Das Tool erstellt unsignierte Tokens, wenn alg: none ausgewählt ist, zeigt aber ein rotes Warnfeld an. Der Sicherheitsprüfmodus bewertet alg: none als KRITISCH. Dieser Algorithmus sollte nur in Testumgebungen erscheinen, in denen die Token-Verifizierung absichtlich deaktiviert ist.
Häufige Probleme und Fehlerbehebung
„Ungültiges JWT-Format. Ein JWT sollte 3 durch Punkte getrennte Teile haben." — die eingefügte Zeichenfolge hat nicht genau zwei .-Zeichen. Stellen Sie sicher, dass Sie das vollständige Token einschließlich aller drei Segmente kopiert haben. JWTs mit einem abschließenden Zeilenumbruch oder Leerzeichen schlagen ebenfalls fehl — Leerzeichen an den Rändern werden entfernt, aber eingebettete Leerzeichen verursachen diesen Fehler.
„Ungültige Base64-Kodierung" — eines der Segmente des Tokens ist kein gültiges Base64URL. Dies kann passieren, wenn das Token beim Kopieren und Einfügen abgeschnitten wurde, oder wenn die Zeichenfolge ein anderes kodiertes Format ist (z. B. ein undurchsichtiges Referenztoken von OAuth, das überhaupt kein JWT ist).
„Geheimnis erforderlich" / „Privater Schlüssel erforderlich" — Sie haben auf Kodieren geklickt, ohne das Signaturschlüsselfeld auszufüllen. HMAC-Algorithmen erfordern ein nicht leeres Geheimnis; asymmetrische Algorithmen erfordern einen PEM-privaten Schlüssel.
„Ungültige JSON-Nutzlast" — der Payload-Editor enthält fehlerhaftes JSON. Prüfen Sie auf abschließende Kommas, nicht angeführte Schlüssel oder einfach angeführte Zeichenfolgen. Die Schaltflächen zum schnellen Hinzufügen von Claims erzeugen immer gültiges JSON; wenn Sie die Nutzlast manuell bearbeitet haben, suchen Sie nach Syntaxfehlern.
Verifizierung gibt ungültig zurück, obwohl der korrekte Schlüssel verwendet wird — stellen Sie sicher, dass Sie denselben Algorithmus verwenden, mit dem das Token signiert wurde (angezeigt im alg-Feld des Headers, das der Dekodiermodus automatisch anzeigt). Stellen Sie bei der asymmetrischen Verifizierung sicher, dass Sie den öffentlichen Schlüssel und nicht den privaten Schlüssel angeben.
alg: none-Token zeigt „Kann nicht verifiziert werden" bei der Verifizierung — unsignierte Tokens haben keine Signatur zum Verifizieren. Das Tool gibt für diesen Fall einen spezifischen „nicht unterstützt"-Status zurück und deaktiviert die Verify-Schaltfläche, wenn alg none ist.
Datenschutz und Sicherheit
Der JWT Encoder/Decoder verarbeitet alle Tokens und Schlüssel lokal mithilfe der jose-Bibliothek, die in Ihrem Browser läuft. Kein JWT, Geheimnis oder privater Schlüssel wird an einen Server übertragen. Das Tool stellt während der Kodierung, Dekodierung oder Verifizierung keine Netzwerkanfragen. Der im Tool angezeigte gelbe Sicherheitshinweis ist ernst gemeint: Behandeln Sie jedes Online-Tool als nicht vertrauenswürdig für produktive Signaturschlüssel. Für Entwicklung und Debugging mit Nicht-Produktions-Anmeldedaten ist dieses Tool sicher zu verwenden. Überprüfen Sie das Verhalten selbst, indem Sie die Browser-DevTools öffnen und die Registerkarte „Netzwerk" prüfen — Sie werden während keiner Operation ausgehende Anfragen sehen.
Häufig gestellte Fragen
Ist das JWT-Tool kostenlos zu verwenden? Ja. Das Tool ist völlig kostenlos ohne Konto oder Anmeldung.
Kann ich es offline verwenden? Ja. Nachdem die Seite geladen wurde, läuft die gesamte Kodierung, Dekodierung und Prüfung lokal. Für JWT-Operationen wird keine Netzwerkanfrage gestellt.
Sind meine Tokens und Signaturschlüssel sicher? Das Tool stellt während des Betriebs keine Netzwerkanfragen. Ihre Tokens und Schlüssel verbleiben in Ihrer Browser-Registerkarte. Vermeiden Sie es dennoch, produktive private Schlüssel in browserbasierte Tools einzugeben. Verwenden Sie Test-Schlüssel oder Nicht-Produktions-Anmeldedaten.
Welche Algorithmen werden unterstützt? Das Tool unterstützt 13 Algorithmen: HS256, HS384, HS512 (HMAC), RS256, RS384, RS512 (RSA PKCS#1), ES256, ES384, ES512 (ECDSA), PS256, PS384, PS512 (RSA-PSS) und none (unsigniert). Die jose-Bibliothek übernimmt die kryptografischen Operationen.
Kann eine Signatur ohne das ursprüngliche Geheimnis verifiziert werden? Nein. Die Signaturverifizierung erfordert das Signiergeheimnis (HMAC) oder den entsprechenden öffentlichen Schlüssel (asymmetrisch). Das Dekodieren — Lesen von Header und Payload — erfordert keinen Schlüssel und funktioniert sofort.
In welchem Format muss der private Schlüssel vorliegen? Asymmetrisches Signieren erfordert einen PKCS#8 PEM-formatierten privaten Schlüssel (beginnend mit -----BEGIN PRIVATE KEY-----). Die importPKCS8-Funktion der jose-Bibliothek übernimmt den Import. Das PKCS#1-Format (beginnend mit -----BEGIN RSA PRIVATE KEY-----) wird nicht unterstützt; konvertieren Sie mit openssl pkcs8 -topk8 -nocrypt.
Was ist der Unterschied zwischen dem Dekodiermodus und dem Sicherheitsprüfmodus? Der Dekodiermodus zeigt den Inhalt des Tokens — Header, Payload, Claims und Ablaufstatus — und ermöglicht die Signaturverifizierung. Der Sicherheitsprüfmodus konzentriert sich ausschließlich auf die Identifizierung von Sicherheitsschwächen im Token-Design: fehlende Claims, schwache Algorithmen, abgelaufene Tokens und Konfigurationsprobleme. Beide Modi erfordern keinen Signaturschlüssel.
Warum markiert die Sicherheitsprüfung mein HS256-Token? Die Prüfung bemerkt (Schweregrad HINWEIS, nicht WARNUNG oder KRITISCH), dass HMAC-Algorithmen ein gemeinsames Geheimnis verwenden, was bedeutet, dass jeder Dienst mit dem Geheimnis Tokens sowohl verifizieren als auch erstellen kann. Dies ist eine architektonische Überlegung für Multi-Service-Systeme, kein Fehler in Ihrem Token. Der Hinweis empfiehlt asymmetrische Algorithmen für Systeme, in denen nur ein Dienst Tokens ausstellen können soll.
Kann ich ein JWT ohne Kenntnis des Algorithmus dekodieren? Ja. Der Algorithmus, der zum Signieren des Tokens verwendet wurde, ist im alg-Feld des Headers gespeichert. Das Dekodieren liest zuerst den Header, der den Algorithmus enthüllt. Sie müssen den Algorithmus (und den Schlüssel haben) nur kennen, wenn Sie die Signatur verifizieren möchten.
Wie funktioniert der Batch-Modus? Aktivieren Sie den Batch-Modus mit der Toggle-Schaltfläche und geben Sie dann ein JWT pro Zeile ein. Klicken Sie auf „Alle verarbeiten", um jedes Token zu dekodieren. Die Ausgabetabelle zeigt den Algorithmus jedes Tokens (aus dem Header) und seinen vollständigen Payload als JSON-Zeichenfolge. Fehlerhafte Tokens zeigen einen Fehler in der Ausgabespalte.
Verwandte Tools
Der Base64 Encoder/Decoder verarbeitet die URL-sichere Base64-Kodierung, die in JWT-Segmenten verwendet wird. Der JSON-Formatierer ist nützlich zum Formatieren des dekodierten Payload-JSON, wenn Sie verschachtelte Strukturen erkunden möchten. Der Passwort-Generator kann starke zufällige Geheimnisse für HMAC-Signaturschlüssel generieren.
Jetzt JWT Encoder/Decoder ausprobieren: JWT Encoder/Decoder