Zum Hauptinhalt springen
PlusEntwickler-Tools

JWT-Inspektor

Ein JWT ist nur Base64 mit einem Punkt dazwischen - lesbar, sobald man es dekodiert. Der JWT-Inspektor zerlegt jedes Token in Header, Payload und Signatur, erklärt die Standard-Claims, zählt live runter, wann es abläuft, und verifiziert HMAC-Signaturen direkt im Browser. Kein Token verlässt dabei je deinen Rechner.

Ein Blick hinein - live

Live-Vorschau. Interaktiv wird es mit deinem Konto.

Was JWT-Inspektor kann

JSON Web Tokens sind überall, wo moderne Anmeldung passiert: OAuth2-Access-Tokens, Session-Cookies, API-Schlüssel, Single-Sign-on. Sie sehen aus wie kryptischer Zeichensalat, sind aber in Wahrheit nur drei Base64-kodierte Teile, getrennt durch Punkte. Der JWT-Inspektor macht sie lesbar und beantwortet die Fragen, die man beim Debuggen wirklich hat: Was steht drin, für wen ist es, und wann läuft es ab?

Du fügst dein Token ein - ein optionales Bearer-Präfix wird automatisch abgeschnitten - und siehst sofort drei sauber getrennte Panels. Der Header verrät den Signaturalgorithmus und optional die Key-ID. Die Payload zeigt alle Claims, wobei die Standard-Claims wie iss, sub, aud, exp, nbf, iat und jti in Klartext erklärt werden, damit du nicht nachschlagen musst, was welche Abkürzung bedeutet. Die Signatur wird als eigener Block ausgewiesen.

Der wichtigste Praxishelfer ist die Ablauf-Anzeige. Statt einen Unix-Timestamp im Kopf umzurechnen, bekommst du eine klare Statusbanner - gültig, läuft bald ab oder abgelaufen - samt live tickendem Countdown. Ein Token ohne exp-Claim wird ebenfalls markiert, denn ein Token, das nie abläuft, ist selten eine gute Idee. Ein Zeitstrahl zeigt Ausstellung, Gültigkeitsbeginn und Ablauf im Verhältnis zueinander.

Für HMAC-signierte Tokens (HS256, HS384, HS512) kannst du direkt prüfen, ob die Signatur stimmt: Du gibst das Secret ein, und der Inspektor rechnet die Signatur über die Web-Crypto-API deines Browsers nach und zeigt mit einem grünen oder roten Badge, ob sie gültig ist. Für asymmetrische Verfahren wie RS256 oder ES256 zeigt der Inspektor den Algorithmus und eine Einschätzung seiner Sicherheit an; die kryptografische Prüfung dieser Signaturen mit öffentlichem Schlüssel gehört nicht zu den Aufgaben dieses Werkzeugs.

Über den reinen Inspektor hinaus gibt es zwei weitere Modi. Der Token-Builder baut aus einem Header, einer Payload und einem Secret ein neues HS-signiertes Token zusammen - praktisch zum Testen. Der Vergleichsmodus stellt zwei Tokens gegenüber und markiert Claim für Claim, was gleich ist, was sich unterscheidet und was nur in einem der beiden steht - Gold wert, wenn ein Login mal klappt und mal nicht.

Eine Größenwarnung meldet sich, wenn dein Token an die üblichen HTTP-Header-Grenzen stößt, denn überladene Tokens werden von manchen Servern und Proxies stillschweigend abgewiesen. Fertige Beispiel-Tokens - vom Standard-HS256 über ein abgelaufenes bis zu einem deutschen Behörden-Szenario - helfen beim Ausprobieren und Lernen.

Alles läuft zu 100 Prozent clientseitig. Dein Token, dein Secret, deine Claims - nichts davon wird an einen Server geschickt oder gespeichert. Das ist bei Zugangsdaten nicht nur schnell, sondern die einzig vertretbare Art zu arbeiten. Kein Konto, keine Anmeldung, kein Datenabfluss.

Funktionen

Header, Payload, Signatur getrennt

Jedes Token in drei sauber ausgewiesene Panels zerlegt, mit Algorithmus und Key-ID im Header.

Claims in Klartext

Standard-Claims wie iss, sub, aud, exp, nbf, iat und jti werden erklärt - kein Nachschlagen nötig.

Live-Ablauf-Countdown

Statusbanner gültig, läuft bald ab oder abgelaufen, mit tickendem Countdown und Zeitstrahl.

HMAC-Signatur verifizieren

Secret eingeben und die HS256/384/512-Signatur direkt im Browser prüfen - grün oder rot.

Token-Builder

Aus Header, Payload und Secret ein neues HS-signiertes Token bauen - praktisch zum Testen.

Zwei Tokens vergleichen

Claim für Claim gegenüberstellen: gleich, unterschiedlich oder nur in einem - perfekt zum Debuggen.

100 % clientseitig

Token und Secret verlassen deinen Browser nie. Nichts wird an einen Server geschickt oder gespeichert.

So funktioniert es

  1. 1

    Token einfügen

    Füge dein JWT ein - ein Bearer-Präfix wird automatisch entfernt. Oder nimm eines der Beispiel-Tokens.

  2. 2

    Header und Payload lesen

    Sieh dir Algorithmus, Claims und die Klartext-Erklärungen an und prüfe den Ablauf-Countdown.

  3. 3

    Signatur prüfen

    Bei HS-Tokens das Secret eingeben, um die Signatur zu verifizieren - grünes Badge heißt gültig.

  4. 4

    Bauen oder vergleichen

    Im Builder ein Testtoken erzeugen oder im Vergleichsmodus zwei Tokens Claim für Claim gegenüberstellen.

Wer das braucht

Entwickler, die ein Access-Token debuggen und wissen wollen, was drinsteht.
Alle, die schnell prüfen wollen, ob und wann ein Token abläuft.
Backend-Teams, die eine HMAC-Signatur mit dem Secret verifizieren.
Menschen, die zwei Tokens vergleichen, um einen Login-Fehler zu finden.
Sicherheitsbewusste Nutzer, die Tokens lokal statt in einem Online-Debugger prüfen.

Häufige Fragen

Ist ein JWT verschlüsselt?

Nein. Ein Standard-JWT ist nur Base64-kodiert, nicht verschlüsselt - jeder kann Header und Payload lesen. Die Signatur schützt nur vor Manipulation, nicht vor Einsicht. Schreib deshalb nie Geheimnisse in die Payload.

Kann der Inspektor die Signatur prüfen?

Für HMAC-signierte Tokens (HS256, HS384, HS512) ja: Du gibst das Secret ein und der Inspektor rechnet die Signatur im Browser nach. Für asymmetrische Verfahren wie RS256 oder ES256 zeigt er den Algorithmus und dessen Sicherheitseinschätzung an, prüft die Signatur mit öffentlichem Schlüssel aber nicht.

Wie erkenne ich, ob ein Token abgelaufen ist?

Der Inspektor liest den exp-Claim aus, rechnet ihn in ein Datum um und zeigt einen Statusbanner mit Live-Countdown: gültig, läuft bald ab oder abgelaufen. Fehlt der exp-Claim, wird das ebenfalls deutlich markiert.

Wird mein Token oder Secret hochgeladen?

Nein. Der JWT-Inspektor arbeitet zu 100 Prozent in deinem Browser. Weder Token noch Secret noch Claims werden an einen Server geschickt oder gespeichert. Bei Zugangsdaten ist das die einzig sichere Variante.

Warum wird mein Token als zu groß gewarnt?

Sehr große Tokens stoßen an die üblichen HTTP-Header-Grenzen (oft rund 8 KB). Manche Server und Proxies weisen sie dann stillschweigend ab. Die Größenwarnung hilft dir, das zu erkennen, bevor es in Produktion zu rätselhaften Fehlern führt.

Was zeigt der Vergleichsmodus?

Er stellt zwei Tokens nebeneinander und markiert für Header und Payload jeden Claim: gleich, unterschiedlich oder nur in einem der beiden vorhanden. Ideal, um herauszufinden, warum ein Login funktioniert und ein anderer nicht.

JSON-Formatierer

Formatiere, validiere und minimiere JSON mit Syntaxhervorhebung und Fehlererkennung. Kostenlo…

Hash-Verify

Berechne MD5, SHA-1, SHA-256, SHA-384, SHA-512 Hashes und HMAC. Dateien und Texte hashen, ver…

Base64 Encoder/Decoder

Text und Dateien in Base64 kodieren oder dekodieren. Direkt im Browser, kein Server-Upload. U…

Timestamp Converter

Rechne Unix-Timestamps in Datumsangaben um und umgekehrt. Mehrere Zeitzonen, alle gängigen Fo…

UUID Generator

Erzeuge UUIDs (v4) einzeln oder im Batch. Kopieren, Formatierung wählen, sofort verwenden. Di…

Regex-Tester

Teste reguläre Ausdrücke mit Live-Highlighting und deutschen Muster-Vorlagen.

Bereit für JWT-Inspektor?

Keine Installation. Zum Loslegen kein Konto nötig. Direkt im Browser öffnen.

Jetzt öffnen