Ein Blick hinein - live
Live-Vorschau. Interaktiv wird es mit deinem Konto.
Was JWT-Inspektor kann
JSON Web Tokens sind überall, wo moderne Anmeldung passiert: OAuth2-Access-Tokens, Session-Cookies, API-Schlüssel, Single-Sign-on. Sie sehen aus wie kryptischer Zeichensalat, sind aber in Wahrheit nur drei Base64-kodierte Teile, getrennt durch Punkte. Der JWT-Inspektor macht sie lesbar und beantwortet die Fragen, die man beim Debuggen wirklich hat: Was steht drin, für wen ist es, und wann läuft es ab?
Du fügst dein Token ein - ein optionales Bearer-Präfix wird automatisch abgeschnitten - und siehst sofort drei sauber getrennte Panels. Der Header verrät den Signaturalgorithmus und optional die Key-ID. Die Payload zeigt alle Claims, wobei die Standard-Claims wie iss, sub, aud, exp, nbf, iat und jti in Klartext erklärt werden, damit du nicht nachschlagen musst, was welche Abkürzung bedeutet. Die Signatur wird als eigener Block ausgewiesen.
Der wichtigste Praxishelfer ist die Ablauf-Anzeige. Statt einen Unix-Timestamp im Kopf umzurechnen, bekommst du eine klare Statusbanner - gültig, läuft bald ab oder abgelaufen - samt live tickendem Countdown. Ein Token ohne exp-Claim wird ebenfalls markiert, denn ein Token, das nie abläuft, ist selten eine gute Idee. Ein Zeitstrahl zeigt Ausstellung, Gültigkeitsbeginn und Ablauf im Verhältnis zueinander.
Für HMAC-signierte Tokens (HS256, HS384, HS512) kannst du direkt prüfen, ob die Signatur stimmt: Du gibst das Secret ein, und der Inspektor rechnet die Signatur über die Web-Crypto-API deines Browsers nach und zeigt mit einem grünen oder roten Badge, ob sie gültig ist. Für asymmetrische Verfahren wie RS256 oder ES256 zeigt der Inspektor den Algorithmus und eine Einschätzung seiner Sicherheit an; die kryptografische Prüfung dieser Signaturen mit öffentlichem Schlüssel gehört nicht zu den Aufgaben dieses Werkzeugs.
Über den reinen Inspektor hinaus gibt es zwei weitere Modi. Der Token-Builder baut aus einem Header, einer Payload und einem Secret ein neues HS-signiertes Token zusammen - praktisch zum Testen. Der Vergleichsmodus stellt zwei Tokens gegenüber und markiert Claim für Claim, was gleich ist, was sich unterscheidet und was nur in einem der beiden steht - Gold wert, wenn ein Login mal klappt und mal nicht.
Eine Größenwarnung meldet sich, wenn dein Token an die üblichen HTTP-Header-Grenzen stößt, denn überladene Tokens werden von manchen Servern und Proxies stillschweigend abgewiesen. Fertige Beispiel-Tokens - vom Standard-HS256 über ein abgelaufenes bis zu einem deutschen Behörden-Szenario - helfen beim Ausprobieren und Lernen.
Alles läuft zu 100 Prozent clientseitig. Dein Token, dein Secret, deine Claims - nichts davon wird an einen Server geschickt oder gespeichert. Das ist bei Zugangsdaten nicht nur schnell, sondern die einzig vertretbare Art zu arbeiten. Kein Konto, keine Anmeldung, kein Datenabfluss.
Funktionen
Header, Payload, Signatur getrennt
Jedes Token in drei sauber ausgewiesene Panels zerlegt, mit Algorithmus und Key-ID im Header.
Claims in Klartext
Standard-Claims wie iss, sub, aud, exp, nbf, iat und jti werden erklärt - kein Nachschlagen nötig.
Live-Ablauf-Countdown
Statusbanner gültig, läuft bald ab oder abgelaufen, mit tickendem Countdown und Zeitstrahl.
HMAC-Signatur verifizieren
Secret eingeben und die HS256/384/512-Signatur direkt im Browser prüfen - grün oder rot.
Token-Builder
Aus Header, Payload und Secret ein neues HS-signiertes Token bauen - praktisch zum Testen.
Zwei Tokens vergleichen
Claim für Claim gegenüberstellen: gleich, unterschiedlich oder nur in einem - perfekt zum Debuggen.
100 % clientseitig
Token und Secret verlassen deinen Browser nie. Nichts wird an einen Server geschickt oder gespeichert.
So funktioniert es
- 1
Token einfügen
Füge dein JWT ein - ein Bearer-Präfix wird automatisch entfernt. Oder nimm eines der Beispiel-Tokens.
- 2
Header und Payload lesen
Sieh dir Algorithmus, Claims und die Klartext-Erklärungen an und prüfe den Ablauf-Countdown.
- 3
Signatur prüfen
Bei HS-Tokens das Secret eingeben, um die Signatur zu verifizieren - grünes Badge heißt gültig.
- 4
Bauen oder vergleichen
Im Builder ein Testtoken erzeugen oder im Vergleichsmodus zwei Tokens Claim für Claim gegenüberstellen.
Wer das braucht
Häufige Fragen
Ist ein JWT verschlüsselt?
Nein. Ein Standard-JWT ist nur Base64-kodiert, nicht verschlüsselt - jeder kann Header und Payload lesen. Die Signatur schützt nur vor Manipulation, nicht vor Einsicht. Schreib deshalb nie Geheimnisse in die Payload.
Kann der Inspektor die Signatur prüfen?
Für HMAC-signierte Tokens (HS256, HS384, HS512) ja: Du gibst das Secret ein und der Inspektor rechnet die Signatur im Browser nach. Für asymmetrische Verfahren wie RS256 oder ES256 zeigt er den Algorithmus und dessen Sicherheitseinschätzung an, prüft die Signatur mit öffentlichem Schlüssel aber nicht.
Wie erkenne ich, ob ein Token abgelaufen ist?
Der Inspektor liest den exp-Claim aus, rechnet ihn in ein Datum um und zeigt einen Statusbanner mit Live-Countdown: gültig, läuft bald ab oder abgelaufen. Fehlt der exp-Claim, wird das ebenfalls deutlich markiert.
Wird mein Token oder Secret hochgeladen?
Nein. Der JWT-Inspektor arbeitet zu 100 Prozent in deinem Browser. Weder Token noch Secret noch Claims werden an einen Server geschickt oder gespeichert. Bei Zugangsdaten ist das die einzig sichere Variante.
Warum wird mein Token als zu groß gewarnt?
Sehr große Tokens stoßen an die üblichen HTTP-Header-Grenzen (oft rund 8 KB). Manche Server und Proxies weisen sie dann stillschweigend ab. Die Größenwarnung hilft dir, das zu erkennen, bevor es in Produktion zu rätselhaften Fehlern führt.
Was zeigt der Vergleichsmodus?
Er stellt zwei Tokens nebeneinander und markiert für Header und Payload jeden Claim: gleich, unterschiedlich oder nur in einem der beiden vorhanden. Ideal, um herauszufinden, warum ein Login funktioniert und ein anderer nicht.
Ähnliche Werkzeuge
JSON-Formatierer
Formatiere, validiere und minimiere JSON mit Syntaxhervorhebung und Fehlererkennung. Kostenlo…
Hash-Verify
Berechne MD5, SHA-1, SHA-256, SHA-384, SHA-512 Hashes und HMAC. Dateien und Texte hashen, ver…
Base64 Encoder/Decoder
Text und Dateien in Base64 kodieren oder dekodieren. Direkt im Browser, kein Server-Upload. U…
Timestamp Converter
Rechne Unix-Timestamps in Datumsangaben um und umgekehrt. Mehrere Zeitzonen, alle gängigen Fo…
UUID Generator
Erzeuge UUIDs (v4) einzeln oder im Batch. Kopieren, Formatierung wählen, sofort verwenden. Di…
Regex-Tester
Teste reguläre Ausdrücke mit Live-Highlighting und deutschen Muster-Vorlagen.
Bereit für JWT-Inspektor?
Keine Installation. Zum Loslegen kein Konto nötig. Direkt im Browser öffnen.
Jetzt öffnen