Der JWT-Debugger dekodiert und inspiziert JSON-Web-Token – er parst Header, Payload und Signatur, zeigt Claims an und markiert den Ablaufstatus. Ideal zum Debuggen von Authentifizierungsproblemen, Inspizieren von OAuth/OIDC-Token und Überprüfen von JWT-Inhalten, ohne einen separaten Dekodierer oder jwt.io nutzen zu müssen.
JWT (JSON Web Token) ist das dominierende Format für Auth-Token in modernen APIs – OAuth, OIDC, Sitzungstoken und benutzerdefinierte API-Authentifizierung. Aber ein JWT sieht oft wie Kauderwelsch aus: drei Base64URL-kodierte Strings, die durch Punkte getrennt sind. Der JWT-Debugger zerlegt diesen String in seine drei Teile – Header (Algorithmus-Metadaten), Payload (die Claims) und Signatur – dekodiert jeden Teil und zeigt den JSON-Inhalt mit Syntax-Hervorhebung an. Die Payload wird nach bekannten Claims durchsucht: iss (Issuer), sub (Subject), exp (Expiry), iat (Issued At), nbf (Not Before), aud (Audience), jti (Token-ID). Das Ablaufdatum wird vom Unix-Zeitstempel in eine menschenlesbare Form umgewandelt und als gültig, abgelaufen oder noch nicht gültig markiert. Das Tool verifiziert NICHT die Signatur – für die Signaturprüfung wird der geheime Schlüssel benötigt, was außerhalb des Rahmens eines clientseitigen Tools liegt –, aber es zeigt Ihnen genau, was ein Token enthält, damit Sie Authentifizierungsprobleme schnell beheben können.
Teilt das JWT an den Punkten auf und dekodiert jedes Segment per Base64URL: Header, Payload und Signatur. Jeder Teil wird separat mit Syntax-Hervorhebung angezeigt.
Zeigt den Algorithmus (HS256, RS256, ES256) und den Token-Typ an. Überprüfen Sie schnell, welches Signatur-Schema ein Dienst verwendet.
Parst die JSON-Payload und rendert sie mit farbkodierten Schlüsseln, Strings, Zahlen und Booleans. Alle Claims sind auf einen glance sichtbar.
Prüft die Zeitstempel exp (Ablauf), iat (ausgestellt am) und nbf (nicht vor). Markiert mit menschenlesbaren Zeiten, ob das Token gültig, abgelaufen oder noch nicht aktiv ist.
Erkennt registrierte Claims (iss, sub, aud, exp, iat, nbf, jti) und bietet Kurzreferenz-Anmerkungen zu deren Bedeutung.
Das rohe Token wird mit jedem Segment in einer eigenen Farbe angezeigt, sodass Sie Header, Payload und Signatur visuell unterscheiden können.
Wenn eine API den Fehler 401 Unauthorized zurückgibt, fügen Sie das Token ein, um zu prüfen, ob es abgelaufen oder fehlerhaft ist oder vom falschen Issuer stammt.
Dekodieren Sie Access-Token und ID-Token aus OAuth/OIDC-Flows, um gewährte Scopes, Benutzeridentität und den Ablauf zu sehen.
Bestätigen Sie, dass die erforderlichen Claims (Rollen, Berechtigungen, Mandanten-ID) im Token vorhanden sind, bevor Sie davon ausgehen, dass das Backend sie akzeptiert.
Wenn ein Token von einem Backend-Dienst generiert wurde, dekodieren Sie es, um sicherzustellen, dass die Payload mit dem übereinstimmt, was der Dienst beabsichtigt hat.
Dekodieren Sie während einer Sicherheitsüberprüfung im LocalStorage oder in Cookies gespeicherte Token, um zu beurteilen, welche sensiblen Daten clientseitig offengelegt werden.
Klicken Sie auf das JWT-Symbol im DevSuite Pro Dock. Ein Panel mit einem Token-Eingabefeld und drei dekodierten Fenstern öffnet sich.
Fügen Sie ein beliebiges JWT ein – aus einer API-Antwort, einem Authorization-Header, einem Cookie oder dem LocalStorage. Das Präfix „Bearer “ kann enthalten sein oder weggelassen werden.
Das Header-Fenster zeigt den Algorithmus und den Typ. Bestätigen Sie, dass das Schema verwendet wird, das Ihr Backend erwartet (oft HS256 oder RS256).
Das Payload-Fenster zeigt alle Claims mit Syntax-Hervorhebung. Standard-Claims (iss, sub, exp) sind mit ihrem Zweck markiert.
Die Status-Plakette zeigt Gültig, Abgelaufen oder Noch nicht gültig an. Wenn es abgelaufen ist, ist das Token wahrscheinlich der Grund für das Scheitern der Authentifizierung.
Installieren Sie DevSuite Pro kostenlos und schalten Sie 64+ Entwickler-Tools für Ihren Browser frei.
