TOOLING.ninja logo

JWT Debugger

Dekodiere, verifiziere und debugge JSON Web Tokens (JWT) mit detaillierter Payload-Analyse

JWT Token
Fügen Sie Ihren JWT Token zum Dekodieren und Analysieren ein
Dekodierter JWT
Dekodierter Header, Payload und Signatur

Kein JWT Token zum Dekodieren

Fügen Sie einen JWT Token oben ein um den dekodierten Inhalt zu sehen

JWT Struktur erklärt

Ein JWT besteht aus drei Base64-URL kodierten Teilen getrennt durch Punkte (.): Header.Payload.Signatur

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Header

Enthält Metadaten über den Token einschließlich des Signatur-Algorithmus

  • Signatur-Algorithmus (alg)
  • Token-Typ (typ)
  • Schlüssel-ID (kid) - optional

Payload

Enthält die Claims (Aussagen über eine Entität und zusätzliche Daten)

  • Standard- & benutzerdefinierte Claims
  • Ablaufzeit (exp)
  • Benutzerinformationen

Signatur

Wird verwendet um zu verifizieren dass der Token nicht geändert wurde und authentifiziert den Absender

  • Token-Integritätsverifikation
  • Daten wurden nicht manipuliert
  • Absender-Authentifizierung

Über JWT

Standard Claims

  • issAussteller - wer den Token erstellt hat
  • subBetreff - worum es in dem Token geht
  • audZielgruppe - für wen der Token bestimmt ist
  • expAblaufzeit - wann der Token abläuft
  • iatAusgestellt am - wann der Token erstellt wurde
  • nbfNicht vor - wann der Token gültig wird

Häufige Anwendungsfälle

  • Authentifizierung & Autorisierung
  • Sichere Informationsübertragung
  • Single Sign-On (SSO)
  • API-Zugangstokens
  • Identitätsverifikation

Sicherheit

Sicherheitswarnung

JWTs enthalten kodierte aber nicht verschlüsselte Daten. Fügen Sie keine sensiblen Informationen in die Payload ein außer bei Verwendung von JWE (JSON Web Encryption).

Best Practices

  • Verwenden Sie starke geheime Schlüssel (256+ Bits)
  • Setzen Sie angemessene Ablaufzeiten
  • Validieren Sie alle Claims auf dem Server
  • Verwenden Sie HTTPS für Token-Übertragung
  • Implementieren Sie ordnungsgemäße Token-Speicherung

Profi-Tipps

  • Prüfen Sie den 'exp' Claim um sicherzustellen dass Tokens nicht abgelaufen sind
  • Verifizieren Sie dass der 'aud' Claim zu Ihrer Anwendung passt
  • Verwenden Sie 'nbf' für verzögerte Token-Aktivierung
  • Speichern Sie niemals sensible Daten in der JWT Payload