Der AG JWT-Decoder ist ein kostenloses Entwickler-Tool, das JSON Web Tokens (JWT) sofort im Browser dekodiert und ihre Signaturen verifiziert — ohne Anmeldung, ohne Installation.


Fügen Sie ein Token ein, und seine drei Teile —Header, Payload und Signatur— werden base64url dekodiert, farblich getrennt und als formatiertes JSON angezeigt, jeder mit einem Klick kopierbar. Bei HMAC-Token (HS256/384/512) geben Sie das Secret ein, um auch die Signatur zu verifizieren.


Registrierte Claims wie exp, nbf und iat werden in lesbare lokale Zeit und relative Zeit umgewandelt, und ein Statusbanner zeigt an, ob das Token abgelaufen ist. Zudem gibt es eine Algorithmus- und Claim-Referenz sowie Konzept-Leitfäden für ein tieferes Verständnis von JWT.


Die gesamte Verarbeitung erfolgt nur in Ihrem Browser, und kein eingefügtes Token oder Secret wird an einen Server gesendet oder dort gespeichert. Da die Payload eines JWT nicht verschlüsselt ist, legen Sie darin niemals sensible Daten ab.

Im Browser verarbeitet Sofortige Dekodierung HMAC-Prüfung Völlig kostenlos
Dieses Tool dekodiert ein Token und kann HMAC-Signaturen verifizieren. Die Payload eines JWT ist base64url-kodiert, nicht verschlüsselt — legen Sie darin niemals sensible Daten wie Passwörter oder API-Schlüssel ab. Eingefügte Token und Secrets werden nur in Ihrem Browser verarbeitet und niemals an einen Server gesendet oder dort gespeichert.

Wird das eingefügte Token oder Secret an einen Server gesendet?

Nein. Dekodierung und HMAC-Prüfung erfolgen vollständig in Ihrem Browser, und kein Token oder Secret wird jemals an einen Server gesendet oder dort gespeichert.

Welche Algorithmen kann es verifizieren?

Es verifiziert die HMAC-Familie (HS256/384/512) allein mit Ihrem Secret über die Web Crypto des Browsers. Asymmetrische Signaturen wie RS, ES, PS und EdDSA brauchen einen öffentlichen Schlüssel, daher dekodiert dieses Tool sie nur.

Darf ich sensible Daten in ein JWT legen?

Nein. Die Payload eines JWT ist nur base64url-kodiert, nicht verschlüsselt, sodass jeder sie dekodieren kann. Legen Sie darin niemals Geheimnisse wie Passwörter oder API-Schlüssel ab.

Was bedeuten Zahlen wie exp und iat?

Zeitbezogene registrierte Claims sind Unix-Zeitstempel in Sekunden seit dem 1. Januar 1970. Dieses Tool zeigt sie in Ihrer lokalen Zeit und als relative Zeit (z. B. in 3 Tagen) an.