AG
JWT
DECODER
Decoder
Algorithmen
Claims
Leitfäden
Über
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Decoder
/
Leitfäden
/
JWT-Sicherheits-Checkliste
Leitfaden
JWT-Sicherheits-Checkliste
Eine kurze Liste der wichtigsten Prinzipien für die sichere Nutzung von JWT.
Lehnen Sie alg=none und unerwartete Algorithmen ab; erlauben Sie nur den erwarteten Algorithmus.
Die Payload ist nicht verschlüsselt — legen Sie darin niemals Passwörter, persönliche Daten oder andere Secrets ab.
Halten Sie die Lebensdauer mit exp kurz und steuern Sie Gültigkeitsfenster und Wiederverwendung mit nbf und jti.
Prüfen Sie bei der Signaturprüfung auch, ob iss und aud Ihren erwarteten Werten entsprechen.
Secrets müssen lang und zufällig sein und dürfen niemals dem Client offengelegt werden.
Dekodieren Sie ein Token selbst
Einfach einfügen — Header, Payload und Claims werden sofort aufgeschlüsselt.
Decoder öffnen
Verwandt
Was ist ein JWT
Ein JWT (JSON Web Token) ist ein kleines, signiertes JSON-Token-Format, um Informationen sicher zwischen Parteien zu übertragen.
Die dreiteilige JWT-Struktur
Jedes JWT besteht aus header.payload.signature, und jeder Teil ist base64url-kodiert.
JWT vs. Session-Authentifizierung
Der Unterschied zwischen Token- (JWT) und Server-Session- (Cookie) Authentifizierung und wann man welche nutzt.
Häufige JWT-Fehler und Lösungen
Die Fehler, denen man beim Arbeiten mit JWT am häufigsten begegnet, mit Ursachen und Lösungen.
Access-Token und Refresh-Token
Die Rolle des kurzlebigen Access-Tokens und des Refresh-Tokens, das es erneuert.