TechPulseTechPulse

Lokaler JWT-Decoder

Analysieren, debuggen und inspizieren Sie JSON Web Tokens sicher.

Wir haben kein Backend.

Ihre Tokens verlassen niemals Ihren Rechner. Die gesamte Dekodierung erfolgt sicher in Ihrem Browser mittels Client-seitigem JavaScript. Fügen Sie Ihre Produktions-Tokens mit 100% Vertrauen ein.

Header erscheint hier...

Payload erscheint hier...

Was ist ein JSON Web Token (JWT)?

Ein JSON Web Token (JWT) ist ein offener Standard (RFC 7519), der eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können überprüft werden und sind vertrauenswürdig, da sie digital signiert sind. JWTs können mit einem Geheimnis (mit dem HMAC-Algorithmus) oder einem öffentlichen/privaten Schlüsselpaar mittels RSA oder ECDSA signiert werden.

Warum lokale Dekodierung kritisch ist

Entwickler verwenden oft Online-Tools, um JWTs beim Debuggen zu dekodieren. Viele dieser Websites von Drittanbietern senden Ihren Token jedoch an deren Backend-Server. Wenn Sie einen Produktions-Token einfügen, der sensible Benutzerdaten oder aktive Sitzungsdaten enthält, geben Sie im Grunde genommen Zugangsdaten an Dritte weiter.

Unser lokaler JWT-Decoder löst dieses Problem. Indem wir ausschließlich auf Client-seitiges JavaScript (unter Verwendung der nativen Base64-Dekodierungs-APIs des Browsers) setzen, garantieren wir, dass Ihr Token vollständig auf Ihrem lokalen Rechner verarbeitet wird. Es werden keine Netzwerkanfragen gestellt. Es werden keine Daten übertragen.

Struktur eines JWT

In seiner kompakten Form bestehen JSON Web Tokens aus drei Teilen, die durch Punkte (.) getrennt sind:

  • Header: Besteht normalerweise aus zwei Teilen: dem Typ des Tokens (JWT) und dem verwendeten Signieralgorithmus wie HMAC SHA256 oder RSA.
  • Payload: Enthält die Claims (Ansprüche). Claims are statements about an entity (typically, the user) and additional data. There are three types of claims: registered, public, and private claims.
  • Signatur: Um den Signaturteil zu erstellen, müssen Sie den kodierten Header, den kodierten Payload, ein Geheimnis und den im Header angegebenen Algorithmus nehmen und diese signieren.

Sicherheitshinweis: Obwohl Sie den Header und den Payload eines JWT ohne den geheimen Schlüssel dekodieren können, können Sie ohne das Geheimnis nicht überprüfen, ob der Token manipuliert wurde oder ob er authentisch signiert ist. Unser Tool verzichtet bewusst auf die Signaturprüfung, um 100% offline und zustandslos zu bleiben und Sie davor zu schützen, Ihre privaten Verifizierungsschlüssel versehentlich über das Internet zu übertragen.