AG
JWT
DECODER
Decoder
Algorithmen
Claims
Leitfäden
Über
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Decoder
/
Leitfäden
/
Wo ein JWT speichern: localStorage vs. Cookie
Leitfaden
Wo ein JWT speichern: localStorage vs. Cookie
Wo Sie ein JWT im Browser speichern, verändert Ihr XSS- und CSRF-Risiko.
localStorage: einfach zu nutzen, aber von JavaScript lesbar und daher XSS-anfällig — ein eingeschleustes Skript kann das Token stehlen.
HttpOnly-Cookie: JavaScript kann es nicht lesen, es widersteht XSS, wird aber automatisch gesendet, daher CSRF-Schutz nötig (SameSite / CSRF-Token).
Empfohlen: das Refresh-Token in einem HttpOnly-, Secure- und SameSite-Cookie, das Access-Token kurz im Speicher (einer Variable).
Wo auch immer Sie es speichern: HTTPS ist Pflicht; halten Sie Laufzeiten kurz und legen Sie nie sensible Daten in die Payload.
Dekodieren Sie ein Token selbst
Einfach einfügen — Header, Payload und Claims werden sofort aufgeschlüsselt.
Decoder öffnen
Verwandt
Was ist ein JWT
Ein JWT (JSON Web Token) ist ein kleines, signiertes JSON-Token-Format, um Informationen sicher zwischen Parteien zu übertragen.
Die dreiteilige JWT-Struktur
Jedes JWT besteht aus header.payload.signature, und jeder Teil ist base64url-kodiert.
JWT-Sicherheits-Checkliste
Eine kurze Liste der wichtigsten Prinzipien für die sichere Nutzung von JWT.
JWT vs. Session-Authentifizierung
Der Unterschied zwischen Token- (JWT) und Server-Session- (Cookie) Authentifizierung und wann man welche nutzt.
Häufige JWT-Fehler und Lösungen
Die Fehler, denen man beim Arbeiten mit JWT am häufigsten begegnet, mit Ursachen und Lösungen.
Access-Token und Refresh-Token
Die Rolle des kurzlebigen Access-Tokens und des Refresh-Tokens, das es erneuert.
JWS vs. JWE (signiert vs. verschlüsselt)
Ein JWT ist meist ein signiertes JWS; um den Inhalt zu verbergen, nutzt man ein verschlüsseltes JWE. Hier der Unterschied.
Benutzerdefinierte Claims (öffentlich vs. privat)
Neben registrierten Claims (iss, exp, ...) die selbst definierten Arten und wie man Kollisionen vermeidet.
JWT in OAuth 2.0 & OpenID Connect
Wie JWT in OAuth 2.0 und OpenID Connect verwendet wird.