Signierte JWTs mit mehreren Algorithmen erstellen oder bestehende Token dekodieren. Header, Payloads und Claims anzeigen. Die gesamte Verarbeitung erfolgt lokal in Ihrem Browser.
Sicherheitshinweis
Alle JWT-Signierung erfolgt lokal in Ihrem Browser. Ihre Schlüssel verlassen niemals Ihr Gerät. Sie sollten jedoch niemals Produktionsgeheimnisse in Online-Tools verwenden - nutzen Sie dies nur für Entwicklung und Tests.
Der geheime Schlüssel wird verwendet, um das JWT zu signieren. Halten Sie ihn sicher und teilen Sie ihn niemals.
Gespeicherte Voreinstellungen ist eine Supporter-Funktion.
Werkzeugverlauf ist eine Supporter-Funktion.
Werkzeug-Notizen ist eine Supporter-Funktion.
Wählen Sie Kodieren, um ein neüs JWT zu erstellen, oder Dekodieren, um ein bestehendes Token zu untersuchen. Sie können jederzeit zwischen den Modi wechseln.
Wählen Sie einen Algorithmus (HS256 für die meisten Fälle empfohlen), geben Sie Ihr Payload als JSON ein und geben Sie Ihren geheimen Schlüssel an. Verwenden Sie die schnellen Claim-Schaltflächen, um Standard-Claims hinzuzufügen.
Klicken Sie auf "JWT kodieren", um Ihr Token zu erstellen, oder fügen Sie ein vorhandenes Token im Dekodierungsmodus ein. Die Ausgabe ist farbkodiert, um Header, Payload und Signatur anzuzeigen.
Verwenden Sie "Dieses Token dekodieren", um Ihr kodiertes JWT zu verifizieren. Kopieren Sie das Token oder einzelne Abschnitte nach Bedarf. Verwenden Sie "Im Kodierer bearbeiten", um ein dekodiertes Token zu ändern.
Ein JWT besteht aus drei durch Punkte getrennten Teilen: Header.Payload.Signatur. Jeder Teil ist Base64URL-kodiert. Header und Payload sind JSON-Objekte, während die Signatur ein kryptografischer Hash zur Verifizierung ist.
Den Payload-JSON analysieren und validieren. Den Header mit Algorithmus und Typ erstellen. Sowohl Header als auch Payload Base64URL-kodieren. Mit einem Punkt-Trennzeichen verketten. Mit dem angegebenen Algorithmus und Schlüssel signieren. Die Signatur anhängen, um das endgültige Token zu erstellen.
HS256/384/512: HMAC mit SHA-256/384/512 (symmetrisch, verwendet geheimen Schlüssel). RS256/384/512: RSA mit SHA-256/384/512 (asymmetrisch, verwendet Schlüsselpaar). ES256/384/512: ECDSA mit P-256/384/521-Kurven (asymmetrisch, verwendet Schlüsselpaar). PS256/384/512: RSA-PSS mit SHA-256/384/512 (asymmetrisch, verwendet Schlüsselpaar). none: Keine Signatur (nur für Tests, niemals in Produktion verwenden).
Das Token am Punkt-Trennzeichen (.) aufteilen. Den Header (erster Teil) Base64URL-dekodieren. Den Payload (zweiter Teil) Base64URL-dekodieren. Beide als JSON-Objekte analysieren. Die Signatur (dritter Teil) unverändert anzeigen.
JWTs sind kodiert, nicht verschlüsselt - Inhalte sind lesbar. Speichern Sie niemals sensible Daten in JWTs, die Sie nicht offenlegen möchten. Verifizieren Sie Signaturen immer serverseitig, bevor Sie Claims vertraün. Verwenden Sie kurze Ablaufzeiten und Refresh-Tokens. Verwenden Sie niemals Produktionsgeheimnisse in Online-Tools.
Ein JWT ist ein kompaktes, URL-sicheres Token-Format zur sicheren Übertragung von Informationen zwischen Parteien. Es besteht aus drei Base64-kodierten Teilen: Header (Algorithmus-Info), Payload (Ansprüche/Daten) und Signatur (Verifizierung). JWTs werden häufig für Authentifizierung und Autorisierung in Webanwendungen verwendet.
