JWT-Tools — Decodieren, Verifizieren & Signieren

Decodiere JWTs, verifiziere HS-, RS- und ES-Signaturen mit einem Secret oder PEM-Public-Key und signiere neue HS-Tokens — alles vollständig in deinem Browser.

Tool wird geladen…

JWT-Tools — Decodieren, Verifizieren & SignierenEin All-in-one-Toolkit für JSON Web Tokens mit drei Modi — Decodieren, Verifizieren und Signieren. Decodieren stellt Header und Payload eines Tokens formatiert dar, Verifizieren prüft die Signatur mit einem HMAC-Secret (HS256/384/512) oder einem PEM-Public-Key (RS256/384/512, ES256/384/512), und Signieren erzeugt aus deinem Header, Payload und Secret ein frisch HS-signiertes Token. Jeder Vorgang läuft vollständig clientseitig über die im Browser eingebaute Web Crypto API, sodass Tokens, Secrets und Schlüssel dein Gerät niemals verlassen.

Was ist JWT-Tools — Decodieren, Verifizieren & Signieren?

JWT-Tools ist ein kostenloses All-in-one-Werkzeug für JSON Web Tokens, das einen Decoder, einen Signaturprüfer und einen HS-Signierer an einem Ort vereint. Im Modus Decodieren wird ein header.payload.signature-Token base64url-decodiert und Header sowie Payload als formatiertes JSON dargestellt. Im Modus Verifizieren liest es das alg aus dem Token-Header und prüft die Signatur mit der Web Crypto API: ein gemeinsames HMAC-Secret für HS256, HS384 und HS512 oder ein PEM-codierter Public-Key für RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) und ES256/ES384/ES512 (ECDSA). Im Modus Signieren erstellt und HMAC-signiert es aus einem Header-JSON, einem Payload-JSON, einem gewählten HS-Algorithmus und einem Secret ein brandneues Token. Es ist für Backend- und Frontend-Entwickler, QA-Tester und API-Integratoren gedacht, die Authentifizierung, OAuth/OIDC-Sitzungen und Token-Ablauf debuggen, ohne Secrets in einen entfernten Dienst einzufügen.

So verwendest du JWT-Tools — Decodieren, Verifizieren & Signieren

  1. Wähle oben einen Modus: Decodieren, Verifizieren oder Signieren.
  2. Decodieren: Füge ein JWT (header.payload.signature) in das Token-Feld ein und lies darunter den formatierten Header und Payload — hier wird keine Signaturprüfung durchgeführt.
  3. Verifizieren: Füge das Token ein, dann das HMAC-Secret (für HS-Algorithmen) oder den PEM-Public-Key (für RS/ES) in das Schlüsselfeld; das Tool liest das alg aus dem Header und zeigt ein grünes 'gültig' oder rotes 'ungültig' an.
  4. Signieren: Gib ein Header-JSON und ein Payload-JSON ein, wähle HS256, HS384 oder HS512, tippe dein Secret und kopiere das frisch signierte Token, das erscheint.
  5. Nutze die Kopieren-Schaltfläche bei jeder Ausgabe oder Leeren, um die Decode-Eingabe zurückzusetzen.

Beispiele

Ein Token decodieren

Eingabe

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Ausgabe

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

Ein HS256-Token verifizieren

Eingabe

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

Ausgabe

valid (HS256)

Ein neues HS256-Token signieren

Eingabe

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

Ausgabe

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Häufig gestellte Fragen

Werden meine Tokens, Secrets und Schlüssel irgendwohin hochgeladen?
Nein. Jeder Modus läuft vollständig clientseitig in deinem Browser über die eingebaute Web Crypto API (crypto.subtle) für HMAC und Signaturprüfung sowie base64url und JSON in JavaScript. Nichts — weder das Token noch das Secret noch der PEM-Schlüssel — wird jemals an einen Server gesendet, was die Arbeit mit Produktions-Anmeldedaten sicher macht.
Welche Algorithmen kann es verifizieren?
Verifizieren unterstützt HS256, HS384 und HS512 mit einem gemeinsamen HMAC-Secret sowie RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) und ES256/ES384/ES512 (ECDSA) mit einem PEM-codierten Public-Key. Es liest das alg-Feld aus dem Token-Header automatisch aus, sodass du nur das passende Secret oder den passenden Public-Key bereitstellst.
Mit welchen Algorithmen kann es signieren?
Der Signier-Modus erzeugt ausschließlich HMAC-signierte Tokens — HS256, HS384 oder HS512 — aus deinem Header-JSON, Payload-JSON und einem Secret. RSA- und ECDSA-Signierung benötigt einen Private-Key und ist hier nicht vorgesehen; für RS/ES kannst du dennoch im Verifizieren-Modus mit dem passenden Public-Key prüfen.
Prüft der Decode-Modus die Signatur?
Nein. Decodieren base64url-decodiert nur und stellt Header und Payload formatiert dar — es validiert die Signatur niemals. Wechsle in den Verifizieren-Modus und gib ein Secret oder einen Public-Key an, um die Echtheit eines Tokens zu bestätigen, und vertraue einem decodierten Payload nie, bevor seine Signatur verifiziert ist.
Warum meldet die Verifizierung ungültig oder Fehler?
'Ungültig' bedeutet, dass die Signatur nicht zu dem von dir angegebenen Secret oder Schlüssel passt. Ein 'Fehler' bedeutet hingegen, dass die Eingabe nicht verarbeitet werden konnte — etwa weil dem Token das Signatursegment fehlt, das alg nicht unterstützt wird oder der PEM-Public-Key nicht geparst werden konnte. Prüfe, ob du das vollständige Token und den richtigen Schlüssel für seinen Algorithmus eingefügt hast.

Verwandte Tools

AES-Textverschlüsselung (AES-GCM + PBKDF2)

Verschlüssle und entschlüssle Text mit AES-256-GCM und einem aus einer Passphrase abgeleiteten Schlüssel (PBKDF2 SHA-256, zufälliges Salt) – komplett im Browser, ohne Uploads.

Argon2- & scrypt-Hash

Hashen Sie ein Passwort mit Argon2id oder scrypt und überprüfen Sie einen Argon2-Hash gegen ein Passwort – vollständig in Ihrem Browser.

Bcrypt-Hash-Generator & -Prüfer

Erzeuge aus einem Klartext-Passwort mit einem gewählten Kostenfaktor einen Bcrypt-Passwort-Hash oder prüfe ein Passwort gegen einen vorhandenen Bcrypt-Hash – komplett in deinem Browser.

BIP39-Mnemonic-Generator

Erzeuge eine zufällige BIP39-Wiederherstellungsphrase mit 12 bis 24 Wörtern in mehreren Sprachen oder wandle eine bestehende Mnemonic zurück in ihre rohe Entropie um – alles direkt in deinem Browser.