Wichtige Fakten
- Kategorie
- Sicherheit & Validierung
- Eingabetypen
- textarea, text
- Ausgabetyp
- html
- Sample-Abdeckung
- 4
- API verfügbar
- Yes
Überblick
Der JWT-Decoder und Sicherheits-Auditor ist ein unverzichtbares Werkzeug für Entwickler und Sicherheitsteams, um JSON Web Tokens (JWT) schnell zu analysieren. Das Tool dekodiert Header und Payload, überprüft Signaturen (HS256 oder RS256) und identifiziert potenzielle Sicherheitsrisiken wie abgelaufene Tokens, unsichere Algorithmen oder sensible Claims im Klartext.
Wann verwenden
- •Wenn Sie Authentifizierungsprobleme in einer Webanwendung oder API debuggen müssen.
- •Um die Gültigkeit und Signatur eines JWTs mit einem HMAC-Secret oder RSA Public Key zu verifizieren.
- •Bei Sicherheitsaudits, um Tokens auf Schwachstellen wie fehlende Ablaufzeiten oder sensible Daten im Payload zu prüfen.
So funktioniert es
- •Fügen Sie das zu analysierende JWT in das Eingabefeld ein.
- •Geben Sie optional ein HMAC-Secret oder einen RSA Public Key ein, um die Signatur des Tokens zu validieren.
- •Das Tool dekodiert den Header und Payload sofort in ein lesbares JSON-Format.
- •Abschließend wird ein Audit-Bericht generiert, der den Signaturstatus und mögliche Sicherheitsrisiken der Claims hervorhebt.
Anwendungsfälle
Beispiele
1. Fehlerbehebung bei API-Authentifizierung
Full-Stack-Entwickler- Hintergrund
- Ein neues Frontend-Feature meldet ständig 401 Unauthorized Fehler bei API-Aufrufen.
- Problem
- Es muss geprüft werden, ob das generierte Token gültig ist und die richtigen Benutzerrollen enthält.
- Verwendung
- Fügen Sie das JWT in das Feld 'JWT-Token' ein und das Backend-Secret in 'HMAC-Secret (optional)'.
- Beispielkonfiguration
-
jwtToken: 'eyJhbGciOiJIUzI1Ni...' hmacSecret: 'super-secret-demo-key' - Ergebnis
- Das Tool dekodiert den Payload, bestätigt die Gültigkeit der Signatur und zeigt, dass der 'role'-Claim fehlt, was den 401-Fehler erklärt.
2. Sicherheitsprüfung eines SSO-Tokens
Security Engineer- Hintergrund
- Ein Single-Sign-On (SSO) System stellt RSA-signierte Tokens für verschiedene Microservices aus.
- Problem
- Sicherstellen, dass die Tokens keine sensiblen PII-Daten enthalten und die RS256-Signatur korrekt ist.
- Verwendung
- Fügen Sie das SSO-Token ein und hinterlegen Sie den öffentlichen Schlüssel im Feld 'RSA Public Key PEM'.
- Beispielkonfiguration
-
jwtToken: 'eyJhbGciOiJSUzI1Ni...' rsaPublicKey: '-----BEGIN PUBLIC KEY-----...' - Ergebnis
- Die Signatur wird erfolgreich verifiziert. Das Audit warnt jedoch davor, dass die E-Mail-Adresse im Klartext im Payload steht und der 'exp'-Claim eine zu lange Gültigkeit aufweist.
Mit Samples testen
securityFAQ
Werden meine JWTs auf einem Server gespeichert?
Nein, die Dekodierung und Analyse erfolgt lokal im Browser. Es werden keine Tokens, Secrets oder Schlüssel dauerhaft gespeichert.
Welche Signaturalgorithmen werden unterstützt?
Das Tool unterstützt die gängigsten Algorithmen zur Signaturprüfung, insbesondere HS256 (mit HMAC-Secret) und RS256 (mit RSA Public Key).
Kann ich ein Token ohne Secret dekodieren?
Ja, der Header und der Payload eines JWTs sind lediglich Base64-kodiert und können ohne Secret gelesen werden. Das Secret wird nur für die Signaturprüfung benötigt.
Was bedeutet es, wenn sensible Claims markiert werden?
JWT-Payloads sind standardmäßig nicht verschlüsselt. Wenn Passwörter oder persönliche Daten (PII) im Token stehen, warnt das Tool vor diesem Sicherheitsrisiko.
Warum wird mein Token als ungültig angezeigt?
Dies kann an einer manipulierten Signatur, einem falschen Secret/Public Key oder einem abgelaufenen 'exp'-Claim (Expiration) liegen.