Home/ Glossar/ JWT-Parser
Analyse

JWT-Parser

Der JWT-Parser dekodiert JSON Web Tokens (JWT) nach RFC 7519 und stellt Header, Payload und Signatur übersichtlich dar. Er berechnet den Ablaufstatus (exp-Claim), zeigt alle registrierten Claims (iss, sub, aud, exp, nbf, iat, jti) erläutert und unterstützt alle gängigen Signaturalgorithmen (HS256, RS256, ES256 und mehr). Das Tool ist ideal für die Fehlersuche in OAuth-2.0- und OpenID-Connect-Implementierungen.

Was ist ein JWT?

Ein JSON Web Token (JWT, RFC 7519) ist ein kompaktes, URL-sicheres Datenformat zur Übertragung von Claims zwischen Parteien. Ein JWT besteht aus drei Base64url-kodierten Teilen, getrennt durch Punkte: Header (Algorithmus und Token-Typ), Payload (Claims/Ansprüche) und Signature. Der Header enthält typischerweise 'alg' (Signaturalgorithmus: HS256, RS256, ES256, PS256 etc.) und 'typ' (immer 'JWT'). Die Payload enthält registrierte Claims wie 'iss' (Issuer), 'sub' (Subject), 'aud' (Audience), 'exp' (Expiration Time als Unix-Timestamp), 'nbf' (Not Before), 'iat' (Issued At) und 'jti' (JWT ID) sowie beliebige benutzerdefinierte Claims.

Wie funktioniert das Tool?

Das Tool zerlegt den JWT an den Trennpunkten und dekodiert Header und Payload via Base64url (RFC 4648). Die Signatur wird als Hex-String angezeigt, aber nicht kryptographisch verifiziert (dazu wäre der geheime Schlüssel oder das Public Key erforderlich). Zeitbasierte Claims werden automatisch interpretiert: exp und nbf werden in menschenlesbare Datumsangaben umgewandelt und der aktuelle Ablaufstatus (gültig/abgelaufen/noch nicht gültig) wird angezeigt. Das Tool erkennt auch verschachtelte JWTs (JWE – JSON Web Encryption, RFC 7516) und signalisiert, dass der Payload verschlüsselt ist.

Typische Anwendungsfälle

  • OAuth-2.0-Tokens und OpenID-Connect-ID-Tokens während der Entwicklung debuggen
  • Ablaufzeit (exp-Claim) von Tokens prüfen ohne eigene Implementierung
  • Claims in JWT-Payloads bei API-Integrationen und Fehlermeldungen analysieren
  • Signaturalgorithmus und Key-ID (kid) für JWKS-Konfigurationen identifizieren

Schritt-für-Schritt-Anleitung

  1. Schritt 1: JWT-String in das Eingabefeld einfügen (Format: xxxxx.yyyyy.zzzzz).
  2. Schritt 2: Das Tool zerlegt und dekodiert Header und Payload automatisch.
  3. Schritt 3: Ablaufstatus, Issuer, Subject und weitere Claims ablesen.
  4. Schritt 4: Signaturalgorithmus und ggf. Key-ID (kid) für weiterführende Konfiguration notieren.

Beispiel

Eingabe
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Ausgabe
Header: {"alg":"RS256","typ":"JWT"}
Payload: {"sub":"1234567890","name":"John Doe","iat":1516239022}
Issued At: 18.01.2018 01:30:22 UTC
Status: Abgelaufen
Signatur: [Base64url-Wert]

Tipps & Hinweise

  • Tipp: Fügen Sie niemals JWTs mit echten Produktionsdaten in Online-Tools ein – das Tool arbeitet zwar rein clientseitig, aber es ist gute Praxis, sensible Tokens lokal zu analysieren.
  • Tipp: Der Algorithmus 'none' (unsicherer JWT ohne Signatur) sollte serverseitig immer abgelehnt werden – er ist ein bekannter Angriffspunkt (JWT-None-Algorithm-Angriff).
  • Tipp: Verwechseln Sie nicht exp (Unix-Timestamp in Sekunden) mit JavaScript-Timestamps (Millisekunden) – ein falscher Wert führt zu unerwarteten Ablaufzeiten.

Häufige Fragen

Kann das Tool die JWT-Signatur verifizieren?
Nein – die Signaturverifikation erfordert den geheimen Schlüssel (HMAC) oder den öffentlichen Schlüssel (RSA/ECDSA). Das Tool kann nur dekodieren und den Inhalt anzeigen. Für die Verifikation verwenden Sie jwt.io mit dem entsprechenden Schlüssel oder Ihre eigene Bibliothek (z. B. jsonwebtoken für Node.js).
Was ist der Unterschied zwischen JWT und JWE?
JWT (JSON Web Signature) enthält einen signierten, aber lesbaren Payload. JWE (JSON Web Encryption, RFC 7516) enthält einen verschlüsselten Payload – der Inhalt ist ohne den privaten Schlüssel nicht lesbar. JWEs haben fünf Teile (statt drei) und beginnen oft mit 'ey' gefolgt von einem längeren Header.
Was bedeutet der 'kid'-Header-Parameter?
Der 'kid' (Key ID) Parameter im JWT-Header identifiziert den spezifischen Schlüssel, mit dem der Token signiert wurde. Der Empfänger sucht diesen Key im JWKS (JSON Web Key Set) des Issuers, um die Signatur zu verifizieren. Damit können mehrere Schlüssel gleichzeitig im Einsatz sein (Key Rotation).
JWT-Parser
Dekodiere und analysiere JSON Web Tokens (JWT) – zeigt Header, Payload und Signatur übersichtlich an.
Tool öffnen
Ähnliche Tools
Base64-Encoder / Decoder
Hash Text
HMAC-Generator
Token-Generator
Basic Auth Generator
URL-Parser
JSON Formatter
Bcrypt