JPKCom DB

Coder — Tipps & Tricks

Kniffe für den Coder: JWT-Signatur wird nicht geprüft (Sicherheitshinweis), den richtigen Reiter wählen, Stolperfallen und Kombi mit anderen Tools.

Zurück zur Übersicht: Coder · Tool live öffnen: www.jpkc.com/tools/coder/

Das Manual erklärt jeden Reiter, die Beispiele zeigen die Abläufe. Hier geht es um das, was beides voraussetzt, aber selten dabeisteht: wann ein Reiter etwas anderes tut, als du erwartest, und worauf du beim sicheren Umgang achten solltest.

JWT: Decode ist nicht Verify

Der wichtigste Punkt zuerst, weil hier ein gefährliches Missverständnis lauert:

  • Der JWT-Reiter dekodiert nur — er verifiziert nicht. Header und Payload sind in einem JWT lediglich Base64URL-kodiert, nicht verschlüsselt. Jeder kann sie lesen, und genau das macht das Tool sichtbar. Es prüft aber nicht die Signatur und sagt dir nicht, ob das Token echt, gültig signiert oder manipuliert ist.
  • Vertraue einer dekodierten Payload niemals als Berechtigungsnachweis. Dass dort "admin": true oder ein nicht abgelaufenes exp steht, heißt nur, dass das jemand hineingeschrieben hat — nicht, dass es ein Server akzeptiert. Die echte Verifikation (Signaturprüfung gegen das Secret bzw. den öffentlichen Schlüssel) passiert immer serverseitig und ist hier bewusst nicht enthalten.
  • Die Ablauf-Badges sind nur Anzeige. „Gültig, läuft … ab" und „Abgelaufen" beruhen rein auf den Feldern exp/iat der unverifizierten Payload. Ein gefälschtes Token kann jedes beliebige exp tragen.
  • Datenschutz spielt hier für dich: Weil der Coder rein clientseitig arbeitet, verlässt das Token deinen Browser nicht. Das ist ein echter Vorteil gegenüber vielen Online-JWT-Debuggern, die das Token an einen Server schicken. Trotzdem gilt die generelle Vorsicht: Produktive Tokens enthalten oft sensible Claims — sieh sie dir an, aber teile sie nicht weiter.

Den richtigen Reiter wählen

Viele „funktioniert nicht"-Momente sind in Wahrheit der falsche Reiter:

  • HTML vs. HTML+. Steht dein Text zwischen Tags, reicht HTML (& < >). Landet er in einem Attributwert, nimm HTML+ — sonst zerbrechen die Anführungszeichen das Attribut. Beide dekodieren nur die selbst erzeugten Entities; &nbsp;, &copy; oder numerische Entities löst keiner der beiden auf.
  • Base64 ist nicht Base64URL. Der Base64-Reiter erwartet das Standard-Alphabet (+ /, =-Padding). Ein JWT-Segment ist Base64URL (- _, oft ohne Padding) und scheitert im Base64-Reiter. Für Tokens immer den JWT-Reiter nehmen — der dekodiert Base64URL korrekt.
  • JSON-Reiter ≠ JSON-Formatter. Der JSON-Reiter escapt/unescapt String-Literale (\\ \" \n \r \t), er formatiert oder validiert keine Dokumente. Fürs Formatieren, Validieren und Umstrukturieren ganzer JSON-Dateien ist der JSON Editor das richtige Werkzeug.

Stolperfallen aus der Praxis

  • URL-Encoding nutzt + für Leerzeichen. Der Coder kodiert im Formular-Stil (application/x-www-form-urlencoded), nicht mit %20. Für Query-Strings ist das korrekt; für einen Pfad-Bestandteil, in dem ein + wörtlich gemeint ist, musst du das im Kopf behalten.
  • Encode und Decode überschreiben das Feld. Das Ergebnis wird in dasselbe Eingabefeld zurückgeschrieben. Willst du Original und Resultat nebeneinander, kopier das Original vorher mit Copy heraus.
  • JSON-Escape deckt nicht alles ab. Unicode-Escapes (\uXXXX) sowie \b und \f werden nicht behandelt — nur \\ \" \n \r \t. Bei exotischeren Steuerzeichen also nicht überrascht sein.
  • Ungültiger Input wird gemeldet, nicht stillschweigend verbogen. Kein gültiges Base64, eine kaputte URL-Sequenz oder ein JWT ohne drei Teile führt zu einer klaren Fehlermeldung — keine halb-kaputte Ausgabe, die du erst später bemerkst.
  • Data-URIs werden schnell riesig. Base64 vergrößert die Daten um rund ein Drittel. Für Icons und Mini-Assets prima; bei großen Bildern oder gar Videos wird die URI unhandlich lang und bremst die Seite eher, als dass sie hilft. Und der MIME-Typ kommt aus der Browser-Erkennung — fehlt er, steht n/a.

Mit anderen JPKCom-Tools kombinieren

Der Coder ist das schnelle Schweizer Taschenmesser für Encode/Decode. Für alles Größere übernehmen Nachbar-Tools:

  • Convertor PRO — wenn du nicht nur encoden/decoden, sondern zwischen Formaten konvertieren willst: HTML/XML, Unicode, UTF-8, Hexadezimal, YAML, JSON, TOML.
  • JSON Editor — die perfekte Anschlussstation für eine dekodierte JWT-Payload oder einen unescapten JSON-String: formatieren, validieren, umbauen.
  • Generator und Hash Generator — die Security-Nachbarn neben dem JWT-Reiter: Passwörter, BCrypt-/Argon2-Hashes, TOTP-Codes bzw. MD5/SHA-Hashes.
  • Beautify — wenn der HTML- oder JavaScript-Schnipsel, den du gerade escapt hast, auch noch sauber formatiert werden soll.

Workflow-Muster: kodieren/dekodieren im Coder → bei Bedarf im passenden Nachbar-Tool weiterverarbeiten. Ein konkreter Durchlauf steht im Beispiel 2: Ein JWT dekodieren und die Payload lesen.

Noch mehr Kontext: die Übersicht zum großen Bild, das Manual für jeden Reiter im Detail und die Beispiele für die Schritt-für-Schritt-Abläufe. Ausprobieren kannst du alles direkt im Tool.