Warum wird die Signatur nicht verifiziert?

Die Verifizierung erfordert den öffentlichen Schlüssel des Ausstellers (für asymmetrische Algorithmen wie RS256/ES256) oder das symmetrische Geheimnis (HS256). Beides gehört in Ihr Backend, nicht in ein Browser-Werkzeug. Jeder, der JavaScript auf Ihrem Rechner ausführt, müsste sonst dieses Geheimnis verarbeiten — genau das soll ein JWT-Design vermeiden.

Kann ich ein JWT ohne den geheimen Schlüssel dekodieren?

Ja — Header und Payload sind Base64url-kodiert, nicht verschlüsselt. Jeder, der das Token besitzt, kann den Inhalt lesen. Deshalb sollten Sie niemals Geheimnisse (Passwörter, rohe Kreditkartennummern) in einen JWT-Payload einfügen.

Welche Algorithmen unterstützt der Decoder?

Alle, zur Inspektion. Das Werkzeug liest den Algorithmusnamen aus dem Header, wendet ihn aber nicht an. Gängige Werte: HS256 (HMAC-SHA-256, symmetrisch), RS256 (RSA-SHA-256, asymmetrisch), ES256 (ECDSA-P256-SHA-256). Der gefährliche 'none'-Algorithmus — der bedeutet 'dieses Token hat keine Signatur' — sollte von Ihrem Verifizierungscode immer abgelehnt werden.

JWT Decoder

JWT einfügen — Header, Payload, Algorithmus und Ablaufzeit auf einen Blick.

Buğra SözeriEntwickler

Updated June 10, 2026 · Published June 10, 2026

Ein JSON Web Token (JWT) überträgt Claims über einen authentifizierten Benutzer in drei durch Punkte getrennten Teilen: einem Base64url-kodierten Header, einem Base64url-kodierten Payload und einer Signatur (üblicherweise SHA-256-basiert). Der Decoder zerlegt das Token, parst jeden Abschnitt als JSON, zeigt den Algorithmus und die verbleibende Gültigkeitsdauer an. Die Signatur wird nicht verifiziert — dafür wird der Schlüssel des Ausstellers benötigt, und die Prüfung sollte im Backend stattfinden, nicht in einem Browser-Werkzeug.

Die gesamte Dekodierung erfolgt lokal. Convertitive speichert, protokolliert oder überträgt das eingefügte Token niemals.

JWT (header.payload.signature)

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Algorithm

HS256

Expires

no exp claim

Signature is shown for reference but not verified. Verifying a JWT requires the issuer’s public or symmetric key — that step happens on your backend, not in a browser tool.

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

How to use

JWT einfügen
Drei Base64url-Abschnitte, durch Punkte verbunden. Das kodierte Token ist meist eine lange Zeile — Zeilenumbrüche werden toleriert.
Header und Payload prüfen
Jeder Abschnitt wird als formatiertes JSON angezeigt. Die Algorithmuskarte liest 'alg' aus dem Header zur schnellen Übersicht.
Ablaufzeit prüfen
Enthält der Payload 'exp' (Unix-Zeitstempel in Sekunden), berechnet das Werkzeug die verbleibende Zeit basierend auf der aktuellen Uhrzeit Ihres Rechners.

Frequently asked questions

Warum wird die Signatur nicht verifiziert?: Die Verifizierung erfordert den öffentlichen Schlüssel des Ausstellers (für asymmetrische Algorithmen wie RS256/ES256) oder das symmetrische Geheimnis (HS256). Beides gehört in Ihr Backend, nicht in ein Browser-Werkzeug. Jeder, der JavaScript auf Ihrem Rechner ausführt, müsste sonst dieses Geheimnis verarbeiten — genau das soll ein JWT-Design vermeiden.
Kann ich ein JWT ohne den geheimen Schlüssel dekodieren?: Ja — Header und Payload sind Base64url-kodiert, nicht verschlüsselt. Jeder, der das Token besitzt, kann den Inhalt lesen. Deshalb sollten Sie niemals Geheimnisse (Passwörter, rohe Kreditkartennummern) in einen JWT-Payload einfügen.
Welche Algorithmen unterstützt der Decoder?: Alle, zur Inspektion. Das Werkzeug liest den Algorithmusnamen aus dem Header, wendet ihn aber nicht an. Gängige Werte: HS256 (HMAC-SHA-256, symmetrisch), RS256 (RSA-SHA-256, asymmetrisch), ES256 (ECDSA-P256-SHA-256). Der gefährliche 'none'-Algorithmus — der bedeutet 'dieses Token hat keine Signatur' — sollte von Ihrem Verifizierungscode immer abgelehnt werden.

JWT Decoder

How to use

JWT einfügen

Header und Payload prüfen

Ablaufzeit prüfen

Frequently asked questions

Verwandte Werkzeuge