JWT Dekodierer & Verifizierer

RFC 7519 / 7518 · läuft in Ihrem Browser

Was verifiziert wird

Nach Dekodierung von Header und Nutzdaten verifiziert diese Seite die Signatur gegen einen von Ihnen gelieferten Schlüssel. Die Signatur wird über die exakten Bytes von base64url(header)+"."+base64url(payload) berechnet und mit dem dritten Segment unter Verwendung des im Header deklarierten Algorithmus verglichen.

This page handles every standard JWT signing family:

• HS256/HS384/HS512 — symmetrische (HMAC) Signaturen, mit dem geteilten Geheimnis verifiziert.
• RS256/RS384/RS512 — RSA-PKCS#1 v1.5 Signaturen, mit dem RSA-Public-Key des Ausstellers (PEM SPKI) verifiziert.
• PS256/PS384/PS512 — RSA-PSS Signaturen, mit derselben Form von RSA-Public-Key verifiziert.
• ES256/ES384/ES512 — ECDSA-Signaturen auf P-256 / P-384 / P-521, mit dem passenden EC-Public-Key verifiziert.

Zeitansprüche

Drei Standard-Zeit-Claims werden automatisch interpretiert:

• iat (issued at) — wann der Token geprägt wurde.
• nbf (not before) — die früheste Zeit, zu der der Token gültig ist.
• exp (expires at) — die späteste Zeit, zu der der Token gültig ist.

Häufige Anwendungsfälle

• Einen undurchsichtigen <code>Authorization: Bearer …</code> Token dekodieren, um genau zu sehen, welche Claims Ihr Client sendet oder Ihr Server empfängt.
• Eine OIDC ID-Token-Signatur gegen den Public Key des Ausstellers bestätigen, bevor Sie den Claims vertrauen.
• Prüfen, dass ein interner Service-JWT mit dem erwarteten geteilten Geheimnis signiert wurde.
• Verifizieren, dass ein Token, der ablaufen sollte, tatsächlich abgelehnt wird — fügen Sie ihn hier ein und vergleichen Sie mit dem Live-<code>exp</code>-Countdown.

Datenschutz

Tokens, Geheimnisse und Schlüssel, die Sie einfügen, werden nur in Ihrem Browser verarbeitet. Es gibt keine Netzwerk-Hin-und-Rückläufe; der Verifizierungsschlüssel wird nur im Speicher gehalten, solange die Seite offen ist, und wird nirgendwo gespeichert oder protokolliert.