JWT Inspector & Verifier

Dekodiert JWT Header/Payload mit Highlighting, diagnostiziert Standard-Claims, prüft die Signatur mit HS*/RS*/PS*/ES*/EdDSA-Schlüsseln und enthält eine Fälschungs-Demo

Füge ein kompaktes JWT (JWS) ein und das Tool:

  1. Dekodiert Header und Payload (base64url) in lesbaren, hervorgehobenen JSON.
  2. Diagnostiziert Standard-Claims (exp / nbf / iat / iss / aud / sub / jti) und markiert abgelaufene, noch nicht gültige oder fehlende.
  3. Prüft die Signatur mit einem Shared Secret (HS) oder einem asymmetrischen Public-Key PEM/JWK (RS/PS/ES/EdDSA).
  4. Signiert optional einen manipulierten Payload mit deinem Schlüssel, um zu zeigen, warum ein Verifizierer den erwarteten alg fixieren und Tokens der falschen Partei ablehnen muss.

Sicherheitshinweise:

  • Die Prüfung erfolgt serverseitig mit Node crypto; Secret/Key verlassen den Request nicht.
  • alg=none-Tokens werden erkannt und nie als gültig akzeptiert.
  • Erzwinge immer den erwarteten Algorithmus, Issuer und Audience im eigenen Backend; dieses Tool dient nur Inspektion und Lehre.

Beispielergebnisse

1 Beispiele

Ein HS256-Beispieltoken dekodieren und prüfen

Zeigt Header, Payload, Claim-Diagnose und die Signaturprüfung mit Shared Secret.

JWT decoded, claims diagnosed, signature verified against shared secret.
Eingabeparameter anzeigen
{ "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY", "mode": "verify", "secret": "demo-secret-2026", "publicKey": "", "forgePayload": "", "clockSkew": 0 }

Wichtige Fakten

Kategorie
Sicherheit & Validierung
Eingabetypen
textarea, select, text, number
Ausgabetyp
html
Sample-Abdeckung
4
API verfügbar
Yes

Überblick

Der JWT Inspector & Verifier ermöglicht das schnelle Dekodieren und Überprüfen von JSON Web Tokens (JWT). Das Tool entschlüsselt Header und Payload in lesbares JSON, analysiert Standard-Claims wie Ablaufzeit oder Gültigkeit und verifiziert die kryptografische Signatur mithilfe von Shared Secrets (HS*) oder asymmetrischen öffentlichen Schlüsseln (RS*, PS*, ES*, EdDSA).

Wann verwenden

  • Wenn Sie den Inhalt eines verschlüsselten oder kodierten JSON Web Tokens schnell im Klartext analysieren möchten.
  • Wenn Sie die Gültigkeit von Standard-Claims wie Ablaufzeit (exp) oder Aussteller (iss) prüfen und eventuelle Zeitabweichungen diagnostizieren müssen.
  • Wenn Sie die kryptografische Signatur eines Tokens mit einem Shared Secret oder einem öffentlichen Schlüssel (PEM/JWK) verifizieren wollen.

So funktioniert es

  • Fügen Sie das kompakte JWT-Token in das Eingabefeld ein.
  • Wählen Sie den Verifizierungsmodus (nur dekodieren, Signatur prüfen oder Fälschungs-Demo) und geben Sie optional das Shared Secret oder den Public-Key (PEM/JWK) an.
  • Das Tool dekodiert Header und Payload mittels Base64url und führt eine serverseitige Signaturprüfung mit Node-Crypto durch.
  • Sie erhalten eine strukturierte HTML-Ausgabe mit farblich hervorgehobenem JSON, einer Diagnose der Standard-Claims und dem Verifizierungsstatus.

Anwendungsfälle

Debugging von Authentifizierungs-Tokens während der Softwareentwicklung zur Überprüfung korrekter Claims.
Sicherheitsüberprüfung von JWTs auf abgelaufene Gültigkeitszeiträume oder fehlerhafte Signatur-Algorithmen.
Demonstration und Schulung von Entwicklern bezüglich der Risiken von JWT-Manipulationen und der Wichtigkeit von Signaturprüfungen.

Beispiele

1. HS256-Token verifizieren

Backend-Entwickler
Hintergrund
Ein Entwickler möchte prüfen, ob das von einer API generierte JWT-Token mit dem korrekten Shared Secret signiert wurde und ob die Claims gültig sind.
Problem
Manuelles Dekodieren und Berechnen der HMAC-SHA256-Signatur ist fehleranfällig.
Verwendung
Fügen Sie das JWT-Token ein, wählen Sie den Modus 'Signatur prüfen' und tragen Sie das Shared Secret in das entsprechende Feld ein.
Beispielkonfiguration
token: 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY', mode: 'verify', secret: 'demo-secret-2026'
Ergebnis
Das Tool zeigt den dekodierten Payload im Klartext an und bestätigt die erfolgreiche Verifizierung der Signatur.

2. RS256-Token mit Public-Key prüfen

Security-Auditor
Hintergrund
Ein Auditor muss ein von einem Identity Provider ausgestelltes Token validieren, das asymmetrisch signiert wurde.
Problem
Die Signatur muss gegen einen öffentlichen RSA-Schlüssel im PEM-Format geprüft werden.
Verwendung
Fügen Sie das Token ein, wählen Sie 'Signatur prüfen' und fügen Sie den öffentlichen Schlüssel (BEGIN PUBLIC KEY) in das Feld 'Public-Key PEM / JWK' ein.
Beispielkonfiguration
token: 'eyJhbGciOiJSUzI1NiIs...', mode: 'verify', publicKey: '-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...'
Ergebnis
Die Signatur wird erfolgreich gegen den öffentlichen Schlüssel validiert und abgelaufene Claims werden rot markiert.

Mit Samples testen

json
JWT-Beispiele
Umfassende JWT-Beispiele von der grundlegenden Token-Struktur bis zu fortgeschrittenen Sicherheitsimplementierungen
title token jwt
json
Terraform-Plan-JSON-Beispiele
Terraform-Plan-JSON-Dateien fuer Abhaengigkeitsvisualisierung und Change-Review, passend zu terraform show -json
matched family json
json
Hex/Unicode Konverter Beispiele
Testbeispiele für Hex- und Unicode-Escapesequenz-Konvertierung
matched family json
json
WebRTC Echtzeitkommunikation Beispiele
Umfassende WebRTC-Beispiele für P2P Audio/Video-Kommunikation, Datenkanäle, Bildschirmfreigabe und Signalisierungsserver
matched family json
json

Verwandte Hubs

Tools fur JSON-Austausch und Format-Ubersetzung
Vergleiche JSON-Konvertierungswerkzeuge fur CSV, YAML, TOML, GraphQL, XML, Markdown, Excel, BSON, EDN und ahnliche strukturierte Formate in einem Hub.
Werkzeuge fur JSON-Inspektion, Diff und Transformation
Bunde JSON-Formatierung, Diff, Pfad-Inspektion, Schema-Prufung, Merge und Transformation in einem Hub fur API- und Daten-Workflows.
Generatoren fur JSON-Schemas, Mock-Daten und API-Fixtures
Gebundelte Werkzeuge fur JSON-Schema-Generierung, Aufbau von Mock-Payloads und Vorbereitung von API-Fixtures in einem Hub.
JSON-Formatierungs-, Diff- und Normalisierungs-Tools
Vergleichen Sie JSON-Formatierung, Diff, Log-Review, Konfigurationsvergleich und Datennormalisierung in einem Hub für lesbare und überprüfbare JSON-Workflows.

FAQ

Werden meine eingegebenen Schlüssel oder Secrets auf dem Server gespeichert?

Nein. Die Verifizierung erfolgt zwar serverseitig über Node-Crypto, aber die Secrets und Schlüssel werden nur für die aktuelle Anfrage verwendet und nicht dauerhaft gespeichert.

Welche Signatur-Algorithmen werden vom Verifier unterstützt?

Das Tool unterstützt symmetrische Algorithmen (HS256, HS384, HS512) sowie asymmetrische Verfahren (RS*, PS*, ES*, EdDSA) mittels PEM- oder JWK-Schlüsseln.

Was passiert, wenn ein Token den Algorithmus 'none' verwendet?

Tokens mit 'alg=none' werden vom Tool zwar dekodiert, aber aus Sicherheitsgründen niemals als gültig verifiziert.

Wie kann ich eine minimale Zeitabweichung bei der Ablaufprüfung berücksichtigen?

Sie können im Feld 'Erlaubte Abweichung' (Clock Skew) eine Toleranzzeit in Sekunden angeben, um kleine Server-Zeitunterschiede auszugleichen.

Was zeigt die Fälschungs-Demo (Forge-Modus)?

Sie demonstriert, wie ein manipulierter Payload mit dem angegebenen Schlüssel neu signiert wird, um zu verdeutlichen, warum Backend-Systeme den erwarteten Algorithmus fest vorgeben müssen.

API-Dokumentation

Request-Endpunkt

POST /de/api/tools/jwt-inspector-verifier

Request-Parameter

Parameter-Name Typ Erforderlich Beschreibung
token textarea Ja -
mode select Nein -
secret text Nein -
publicKey textarea Nein -
forgePayload textarea Nein -
clockSkew number Nein -

Antwortformat

{
  "result": "
Processed HTML content
",
  "error": "Error message (optional)",
  "message": "Notification message (optional)",
  "metadata": {
    "key": "value"
  }
}
HTML: HTML

MCP-Dokumentation

Fügen Sie dieses Tool zu Ihrer MCP-Server-Konfiguration hinzu: 

{
  "mcpServers": {
    "elysiatools-jwt-inspector-verifier": {
      "name": "jwt-inspector-verifier",
      "description": "Dekodiert JWT Header/Payload mit Highlighting, diagnostiziert Standard-Claims, prüft die Signatur mit HS*/RS*/PS*/ES*/EdDSA-Schlüsseln und enthält eine Fälschungs-Demo",
      "baseUrl": "https://elysiatools.com/mcp/sse?toolId=jwt-inspector-verifier",
      "command": "",
      "args": [],
      "env": {},
      "isActive": true,
      "type": "sse"
    }
  }
}

Sie können mehrere Tools verketten, z.B.: `https://elysiatools.com/mcp/sse?toolId=png-to-webp,jpg-to-webp,gif-to-webp`, maximal 20 Tools.

Wenn Sie auf Probleme stoßen, kontaktieren Sie uns bitte bei [email protected]