T
authentication oauth saml jwt bearer-token security decoding

Leitfaden zur Dekodierung von Authentifizierungs-Token: OAuth, SAML und Bearer-Token

Ein technischer Leitfaden zur Dekodierung und Fehlersuche bei modernen Authentifizierungs-Token. Erfahren Sie, wie Sie OAuth-Zugriffstoken, SAML-Assertionen und Bearer-Token für Sicherheitsanalysen parsen.

2026-04-15 Dieses Tool verwenden

Leitfaden zur Dekodierung von Authentifizierungs-Token: OAuth, SAML und Bearer-Token

In der modernen Webentwicklung ist die Authentifizierung selten so einfach wie ein Benutzername und ein Passwort. Stattdessen tauschen Systeme „Token“ aus – opake oder halbtransparente Zeichenfolgen, die Identitäts- und Berechtigungsdaten enthalten. Bei der Fehlersuche in Authentifizierungsabläufen oder der Durchführung von Sicherheitsaudits ist die Fähigkeit, diese Token zu dekodieren und zu inspizieren, eine entscheidende Fähigkeit.

Dieser Leitfaden untersucht die technische Struktur der gängigsten Authentifizierungs-Token und erklärt, wie man sie dekodiert.

1. Das Bearer-Token (JWT und darüber hinaus)

Das Bearer-Token ist die am häufigsten verwendete Methode zur Authentifizierung von API-Anfragen. Es wird normalerweise im Authorization-Header gesendet:

Authorization: Bearer <token>

Was ist ein Bearer-Token?

Ein Bearer-Token ist ein Sicherheitstoken, das jedem Zugriff gewährt, der es „besitzt“ (bears). Es ist wie ein physischer Schlüssel; dem System ist es egal, wer Sie sind, solange Sie den Schlüssel haben.

Dekodierung von Bearer-Token

Die meisten modernen Bearer-Token sind JWTs (JSON Web Tokens). Ein JWT besteht aus drei Base64Url-kodierten Teilen:

  1. Header: Metadaten über das Token (Algorithmus, Typ).
  2. Payload: Die „Claims“ (Benutzer-ID, Ablaufdatum, Scopes).
  3. Signature: Kryptografischer Nachweis, dass das Token nicht manipuliert wurde.

Um ein JWT manuell zu dekodieren, können Sie die Zeichenfolge an den Punkten aufteilen und einen Base64Url-Dekodierer für die ersten beiden Teile verwenden. Für eine visuelle Darstellung können Sie einen JWT-Decoder verwenden.

2. OAuth-Token-Dekodierung

OAuth 2.0 verwendet verschiedene Arten von Token, aber am häufigsten begegnet man dem Access Token.

Opake vs. strukturierte Token

  • Strukturierte Token (JWT): Wie oben beschrieben, können diese lokal dekodiert werden, um die Benutzerdaten einzusehen.
  • Opake Token: Dies sind zufällige Zeichenfolgen (wie ghp_... bei GitHub), die für den Client keine Bedeutung haben. Sie können nur vom Autorisierungsserver, der sie ausgestellt hat, „dekodiert“ werden, normalerweise über einen Introspection Endpoint.

So inspizieren Sie ein OAuth-Token

Wenn das Token ein JWT ist, folgen Sie dem Standard-JWT-Dekodierungsprozess. Wenn es opak ist, müssen Sie möglicherweise in der Dokumentation des jeweiligen Anbieters (Google, Microsoft, GitHub) nachsehen, ob dieser ein Debugging-Tool oder eine API zur Inspektion der Token-Metadaten (Scopes, Ablauf usw.) anbietet.

3. SAML-Assertion-Decoder

SAML (Security Assertion Markup Language) ist der XML-basierte große Bruder von JWT. Es wird häufig im Bereich Enterprise Single Sign-On (SSO) eingesetzt.

Der SAML-Ablauf

Wenn Sie sich über SAML anmelden, sendet der Identity Provider (IdP) eine SAMLResponse an Ihre Anwendung, normalerweise als verstecktes Formularfeld.

So dekodieren Sie eine SAML-Assertion

Eine SAML-Assertion ist normalerweise ein Base64-kodiertes XML-Dokument.

  1. Base64-Dekodierung: Wandeln Sie die Zeichenfolge zurück in rohes XML um.
  2. Pretty Print: Formatieren Sie das XML, damit es lesbar ist.
  3. Claims inspizieren: Suchen Sie nach <saml:AttributeStatement>, um die E-Mail-Adresse, Rollen und andere Attribute des Benutzers zu finden.

Da SAML-Assertionen XML sind, sind sie viel umfangreicher als JWTs und enthalten oft digitale Signaturen (<ds:Signature>) und manchmal Verschlüsselung.

4. Basic Authentication Decoder

Obwohl älter, ist Basic Auth immer noch gebräuchlich für einfache APIs oder interne Tools.

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Dekodierung von Basic Auth

Die Zeichenfolge nach Basic ist eine einfache Base64-kodierte Zeichenfolge im Format benutzername:passwort. So dekodieren Sie sie:

  1. Nehmen Sie die Zeichenfolge dXNlcm5hbWU6cGFzc3dvcmQ=.
  2. Dekodieren Sie sie mit Base64, um benutzername:passwort zu erhalten.

Zusammenfassungstabelle: Token-Dekodierung auf einen Blick

Token-Typ Header-Präfix Format Dekodierungsmethode
JWT Bearer JSON / Base64Url Base64Url-Dekodierung + JSON-Parsing
OAuth (Opak) Bearer Zufälliger String Token-Introspection-API
SAML N/A (Formular) XML / Base64 Base64-Dekodierung + XML-Parsing
Basic Auth Basic String / Base64 Base64-Dekodierung

Fazit

Das Verständnis der Dekodierung von Authentifizierungs-Token ist essenziell für die Behebung von „Unauthorized“-Fehlern und um sicherzustellen, dass Ihre Anwendung die korrekten Berechtigungen übergibt. Unabhängig davon, ob Sie es mit einem modernen JWT oder einer älteren SAML-Assertion zu tun haben, besteht der erste Schritt immer darin, die Kodierung (normalerweise Base64) und das zugrunde liegende Format (JSON oder XML) zu identifizieren.

Benötigen Sie eine schnelle Möglichkeit, ein Token zu inspizieren? Verwenden Sie unseren JWT-Decoder, um Ihre Token sicher lokal in Ihrem Browser zu parsen.

Zurück zum Blog JWT-Dekodierer & -Generator →