AG
JWT
DECODER
Decoder
Algorithmen
Claims
Leitfäden
Über
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Decoder
/
Leitfäden
/
JWT in OAuth 2.0 & OpenID Connect
Leitfaden
JWT in OAuth 2.0 & OpenID Connect
Wie JWT in OAuth 2.0 und OpenID Connect verwendet wird.
Access-Token: steht für die Berechtigung, auf eine Ressource (API) zuzugreifen. Oft ein JWT, aber sein Format ist nicht vorgeschrieben.
ID-Token (OIDC): ein JWT, das das Ergebnis der Authentifizierung trägt; es muss ein JWT sein und enthält sub, aud, iss, exp und Profil-Claims.
Refresh-Token: dient dem Erneuern des Access-Tokens; meist ein opaker String und daher nicht zum Dekodieren gedacht.
Prüfen Sie stets iss, aud, exp und die Signatur; OIDC verifiziert die Signatur mit dem JWKS (öffentliche Schlüssel) des Ausstellers.
Dekodieren Sie ein Token selbst
Einfach einfügen — Header, Payload und Claims werden sofort aufgeschlüsselt.
Decoder öffnen
Verwandt
Was ist ein JWT
Ein JWT (JSON Web Token) ist ein kleines, signiertes JSON-Token-Format, um Informationen sicher zwischen Parteien zu übertragen.
Die dreiteilige JWT-Struktur
Jedes JWT besteht aus header.payload.signature, und jeder Teil ist base64url-kodiert.
JWT-Sicherheits-Checkliste
Eine kurze Liste der wichtigsten Prinzipien für die sichere Nutzung von JWT.
JWT vs. Session-Authentifizierung
Der Unterschied zwischen Token- (JWT) und Server-Session- (Cookie) Authentifizierung und wann man welche nutzt.
Häufige JWT-Fehler und Lösungen
Die Fehler, denen man beim Arbeiten mit JWT am häufigsten begegnet, mit Ursachen und Lösungen.
Access-Token und Refresh-Token
Die Rolle des kurzlebigen Access-Tokens und des Refresh-Tokens, das es erneuert.
JWS vs. JWE (signiert vs. verschlüsselt)
Ein JWT ist meist ein signiertes JWS; um den Inhalt zu verbergen, nutzt man ein verschlüsseltes JWE. Hier der Unterschied.
Wo ein JWT speichern: localStorage vs. Cookie
Wo Sie ein JWT im Browser speichern, verändert Ihr XSS- und CSRF-Risiko.
Benutzerdefinierte Claims (öffentlich vs. privat)
Neben registrierten Claims (iss, exp, ...) die selbst definierten Arten und wie man Kollisionen vermeidet.