JWT-Decoder
Dekodiere JSON Web Tokens (JWT) schnell und präzise. Analysiere Header, Payload und Signatur in Echtzeit.
Fügen Sie unten einen beliebigen JSON Web Token ein, um ihn zu dekodieren. Ihr Token wird nur in Ihrer Sitzung verarbeitet — wir loggen oder speichern es nicht.
Nutze dieses Tool von deinem KI-Agenten aus
Kostenlose JSON-API und Model Context Protocol (MCP)-Server. Keine Anmeldung, kein API-Schlüssel, CORS offen. Für Claude, ChatGPT, Cursor, Skripte und Frontend-Apps konzipiert.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Hinzufügen zu claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) oder einem anderen MCP-kompatiblen Client:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Anleitung
- Fügen Sie Ihr JWT-Token in das Eingabefeld oben ein.
- Klicken Sie auf Dekodieren, um Header, Payload und Signatur anzuzeigen.
- Für die Signaturverifizierung geben Sie das Secret (HS256/384/512) oder den öffentlichen Schlüssel (RS256/384/512) an.
- Prüfen Sie den Ablaufstatus, um zu sehen, ob das Token noch aktiv ist.
Hauptfunktionen
- Dekodiert JWT-Header und Payload mit einem Klick
- Verifiziert HS256-, HS384-, HS512-Signaturen mit einem Secret
- Verifiziert RS256-, RS384-, RS512-Signaturen mit einem öffentlichen Schlüssel
- Zeigt Ablauf-, Nicht-vor- und Ausstellungszeitstempel in lesbarer Form an
- Token wird nie auf unseren Servern protokolliert oder gespeichert
Häufige Anwendungsfälle
- Authentifizierungsabläufe in Ihrer Anwendung debuggen
- Tokens inspizieren, die von einem OAuth- oder OpenID Connect-Anbieter zurückgegeben werden
- Prüfen, wann ein Zugriffstoken abläuft
- Verifizieren, dass ein Token vom erwarteten Aussteller signiert wurde
Häufig gestellte Fragen
Ein JWT ist eine kompakte, URL-sichere Möglichkeit, Claims zwischen zwei Parteien darzustellen. Es besteht aus drei Teilen — Header, Payload und Signatur — getrennt durch Punkte. JWTs werden häufig für Authentifizierung und Autorisierung verwendet (OAuth 2.0, OpenID Connect, Single Sign-on).
Ja — das Token wird nur an unseren Server gesendet, damit PHP es dekodieren und (optional) die Signatur verifizieren kann. Das Token wird nie protokolliert, nie gespeichert und nie auf die Festplatte geschrieben. Es existiert nur für die Dauer der Anfrage im Speicher.
Wir verifizieren HS256, HS384, HS512 (HMAC mit SHA-2), wenn Sie das gemeinsame Secret angeben, und RS256, RS384, RS512 (RSA mit SHA-2), wenn Sie den öffentlichen Schlüssel des Ausstellers im PEM-Format angeben. Andere Algorithmen (ES256, EdDSA, etc.) werden dekodiert, aber nicht verifiziert.
Der exp-Claim (Ablauf) ist ein Unix-Zeitstempel, nach dem das Token nicht mehr akzeptiert werden darf. Ein abgelaufenes JWT muss vom Server abgelehnt werden, auch wenn die Signatur gültig ist. Verwenden Sie ein Refresh-Token, um ein neues Zugriffstoken zu erhalten.
Nein. Das Dekodieren eines JWT liest nur dessen Inhalt — es beweist nicht, dass das Token echt ist. Sie müssen die Signatur immer mit dem Secret oder dem öffentlichen Schlüssel des Ausstellers verifizieren, bevor Sie einem Claim darin vertrauen.
