Ein JWT besteht aus drei Base64URL-Teilen: Header (Algorithmus), Payload (Claims), Signature.

Format: header.payload.signature

Der Payload ist nur codiert, nicht verschlüsselt — jeder kann ihn lesen!

• Signatur mit starkem Secret (HS256) oder asymmetrisch (RS256, ES256).
• alg=none und Schlüsselverwechslung (HS vs. RS) sind klassische Schwachstellen.
• Kurze Laufzeit (exp), Refresh-Tokens getrennt speichern.

Nutze das CryptoLab JWT-Tool zum Dekodieren — nie Produktions-Secrets in öffentliche Tools eingeben.

Gut für stateless APIs zwischen Diensten. Schlecht als Session-Ersatz in Cookies ohne harte Schutzmaßnahmen (HttpOnly, Secure, SameSite). Oft sind Server-Sessions einfacher sicher.