Wie viele Drittanbieter-Netzwerkaufrufe macht jwt.io beim ersten Paint?

Gemessen am 2026-05-05: 10 Drittanbieter-Anfragen, bevor der Nutzer überhaupt etwas tippt — OneTrust Cookie-Consent-SDK (5), Adobe Experience Platform Tag-Manager (3), Google Tag Manager (1), und ein OneTrust-Geo-Lookup (1). TaskKit macht 0.

Unterstützt TaskKit's JWT-Decoder JWKS-Lookup über kid?

Ja. Du fügst ein vollständiges JWKS-Dokument ins Schlüsselfeld ein, und TaskKit liest den kid-Header des Tokens und nimmt automatisch den passenden JWK. Sets mit nur einem Schlüssel werden direkt verwendet, auch ohne kid.

Warum holt TaskKit eine JWKS nicht automatisch von einer URL?

Auto-Fetch wäre eine ausgehende Anfrage von deinem Browser an einen Drittanbieter und würde die Privacy-Posture brechen, die das Tool definiert. Token, Keys und JWKS bleiben alle lokal. Füg die JWKS selbst ein; ein curl-Aufruf reicht.

Wie verhindert TaskKit catastrophic backtracking bei signierten Tokens?

Die Signatur-Verifikation läuft in einem Web Worker mit hartem Timeout. Versucht ein böswillig gebauter Token den Verifier festzunageln, wird der Worker beendet und die UI zeigt einen Fehler statt den Tab einzufrieren.

Vergleiche

Vergleich · Aktualisiert 2026-05-05

TaskKit's JWT-Tools vs jwt.io

Beide Tools decodieren und verifizieren JSON Web Tokens vollständig im Browser. Die praktischen Unterschiede liegen darin, was jedes Tool neben dem Editor lädt, wie es sich bei einer langsamen oder feindseligen Signatur verhält, und einer Handvoll Features, die das eine hat und das andere nicht. Die Zusammenfassung unten ist gemessen; der Rest der Seite zeigt das vollständige Bild.

Zusammenfassung

Privacy: TaskKit macht 0 Drittanbieter-Netzwerkaufrufe beim ersten Paint. jwt.io macht 10 (OneTrust Cookie-Consent, Adobe Experience Platform, Google Tag Manager).
Algorithmen und Schlüsselformate: identisch bei beiden für die JWT-Spec — HS / RS / PS / ES / EdDSA, JWK und vollständige JWKS (über kid gematcht), x5c, PKCS#1 / PKCS#8 / X.509 PEM. TaskKit akzeptiert zusätzlich einen EdDSA-Schlüssel als rohen Hex- oder base64url-String.
Runtime Safety: TaskKit verifiziert Signaturen in einem Web Worker mit 2-Sekunden-Timeout, ein feindlicher Token kann die Seite nicht einfrieren. jwt.io verifiziert auf dem Main Thread.
Wo jwt.io stärker ist: ein kuratiertes Libraries-Verzeichnis, eine ausführliche Introduction-Seite, und Per-Claim-Links in die jeweiligen RFCs.
Was TaskKit bewusst weglässt: automatisches Holen einer JWKS von einer URL (würde einen Outbound-Call benötigen). TaskKit's Decoder öffnen.

Privacy, gemessen

Beide Tools behaupten, ihre Arbeit im Browser zu erledigen. Diese Behauptung ist nur dann etwas wert, wenn man sie überprüfen kann. Jede Seite unten wurde am 2026-05-05 in einem frischen Chrome-Profil mit gelöschtem Cache geladen, und jede ausgehende Netzwerkanfrage wurde gezählt, bevor ein einziges Zeichen getippt wurde. Derselbe Test läuft gegen TaskKit's JWT-Decoder.

Netzwerk beim ersten Paint	jwt.io	TaskKit
Drittanbieter-Anfragen	10	0
OneTrust Cookie-Consent-SDK	Geladen (5 Aufrufe)	Nein
Adobe Experience Platform / DTM	Geladen (3 Aufrufe)	Nein
Google Tag Manager	Geladen	Nein
Geo-Lookup	onetrust.com Geo-Endpoint	Nein
Cookie-Consent-Banner	Ja, blockiert das Initial Paint bis zur Bestätigung	Keiner
Login-Wall für erweiterte Features	Nein	Nein

Jeder dieser Aufrufe feuert, bevor du einen Token einfügst. Keiner ist nötig, damit die Seite einen JWT decodiert — es sind Analytics, Tag Management und Consent-Flow-Infrastruktur. TaskKit liefert nichts davon aus. Mehr dazu, wie TaskKit mit deinen Daten umgeht.

Feature-Matrix

Beide Tools decken im Wesentlichen die gesamte JWT-Spec ab. Unten siehst du, was jedes Tool heute akzeptiert, gruppiert nach Kategorie.

Fähigkeit	jwt.io	TaskKit
Algorithmen
HS256 / 384 / 512	Ja	Ja
RS256 / 384 / 512	Ja	Ja
PS256 / 384 / 512	Ja	Ja
ES256 / 384 / 512	Ja	Ja
EdDSA (Ed25519)	Ja	Ja (über @noble/ed25519)
Schlüsselformate
JWK (einzeln)	Ja	Ja
JWKS mit kid-Lookup	Ja	Ja
PEM SPKI (BEGIN PUBLIC KEY)	Ja	Ja
PEM PKCS#1 RSA (BEGIN RSA PUBLIC KEY)	Teilweise	Ja (eigener ASN.1-Reader)
X.509-Zertifikat (BEGIN CERTIFICATE)	Ja	Ja (SPKI automatisch extrahiert)
x5c-Header automatisch genutzt	Ja	Ja (Kette nicht validiert, explizit ausgewiesen)
EdDSA roh als Hex / base64url	Nein	Ja (64 Hex- oder 43 base64url-Zeichen)
Verifikations-Sicherheit
Web-Worker-Isolation	Nein	Ja
Catastrophic-Backtracking-Timeout	Nein	Ja (2s)
alg:none mit Erklärung abgelehnt	Ja	Ja
Encoder
Header / Payload bearbeiten	Ja	Ja
Formularfelder für registrierte Claims	Nein	Ja
PKCS#1-Private-Keys direkt akzeptiert	Nein	Ja (automatisch in PKCS#8 verpackt)
EdDSA Private als Hex / base64url	Nein	Ja
Beispiel-Token mit einem Klick	Ja	Ja (aktuelle iat/exp live berechnet)
Privacy / Runtime
Gesamte Verarbeitung im Browser	Ja	Ja
Null Drittanbieter-Netzwerkaufrufe	Nein	Ja
Cookie-Consent-Dialog	Ja	Keiner
Optionales Cloudflare Web Analytics (privacy-erhaltend, standardmäßig aus)	—	Aus, sofern nicht selbst gehostet mit Token

Runtime Safety

WebCrypto's verify ist auf wohlgeformten Signaturen schnell. Auf feindlichem Input nicht. Pathologische RSA-Exponenten, übergroße Schlüssel, fehlerhafte Ed25519-Signaturen oder eine bösartig gebaute JWKS können den Verifier lange genug festhalten, um den Tab einzufrieren — ein reales Risiko, wenn der Token vor dir aus einer nicht vertrauenswürdigen Quelle stammt.

TaskKit führt die Signatur-Verifikation in einem dedizierten Web Worker mit 2-Sekunden-Wall-Clock-Timeout aus. Überschreitet der Worker das Budget, wird er beendet und die Seite zeigt einen Fehler statt zu hängen. jwt.io verifiziert auf dem Main Thread, eine langsame Signatur ist also eine langsame Seite. Dieselbe Architektur schützt TaskKit's Regex-Tester (gegen (a+)+b-artiges Backtracking) und den JSON-Formatter (gegen mehrere Megabyte große Parses).

Editor-Details, die im Alltag zählen

Dreifarbige Hervorhebung im Input. Beide Tools kolorieren die drei Token-Segmente, jwt.io aber nur in einem read-only-«Decoded»-Pane. TaskKit färbt die Segmente in der Textarea, in der du tatsächlich bearbeitest, was es einfacher macht, einen falsch eingefügten Punkt zu entdecken.
Stets sichtbare Claim-Labels. jwt.io's Klartext-Claim-Namen (iat → "Issued at") liegen hinter einem «Claims Breakdown»-Tab. TaskKit zeigt sie inline unter dem Payload, sodass die Daten und Beschreibungen mit einem Blick sichtbar sind.
Ehrliches x5c-Handling. Wird der x5c-Header eines Tokens zur Verifikation genutzt, zeigt TaskKit's Result-Chip «verified with the x5c certificate from the token header (chain not validated)», statt End-to-End-Vertrauen zu suggerieren. Die Validierung der Kette zurück zu einer Zertifizierungsstelle würde das Holen von CA-Roots erfordern und liegt außerhalb des Scopes eines reinen Browser-Tools.
HMAC-base64url-Toggle. Manche HMAC-Schlüssel werden als base64url-codierte Bytes gespeichert (zum Beispiel ein JWKS oct-Key mit einem k-Feld). Ein kleiner Toggle neben dem Algorithmus-Chip schaltet die Secret-Eingabe zwischen Literal-String und base64url-Bytes-Interpretation um, sodass du nicht selbst decodieren musst.
EdDSA-Roh-Schlüssel-Eingabe. Füg einen Ed25519-Key als 64 Hex-Zeichen, 43 base64url-Zeichen, JWK oder PEM ein. jwt.io erwartet nur PEM oder JWK.

Wo jwt.io stärker ist

Ein nützlicher Vergleich ist kein einseitiger Pitch. Drei Dinge macht jwt.io heute klar besser:

Libraries-Verzeichnis. Ein kuratierter, durchsuchbarer Index von JWT-Libraries nach Sprache. Wenn du eine Implementation für einen Service suchst, ist jwt.io's Verzeichnis die richtige Adresse.
Ausführliche Introduction. Eine kanonische «Was ist ein JWT»-Seite, die das Konzept tief genug erklärt, um es end-to-end zu vermitteln. TaskKit's Erklärtext unter dem Decoder ist kürzer und tool-fokussiert.
Per-Claim-RFC-Links. Jeder registrierte Claim verlinkt in den entsprechenden Abschnitt des RFC, der ihn definiert. Eine Kleinigkeit, aber nützlich, wenn du Spec-Konformität prüfst.

Was TaskKit bewusst weglässt

Eine Privacy-Garantie ist einfacher zu halten, wenn keine Hintertüren eingebaut sind. Ein paar Features, die andere Tools bieten, fehlen hier bewusst.

OIDC-Auto-Discovery. Manche Tools lassen dich eine Issuer-URL einfügen und holen dann still .well-known/openid-configuration für die Schlüssel. Das ist eine ausgehende Anfrage von deinem Browser an einen Drittanbieter — und die URL selbst kann Deployment-Details verraten. TaskKit verlangt, dass du die JWKS selbst einfügst.
JWKS-per-URL-Feld. Dieselbe Begründung. Ein einzeiliges curl in deiner Terminal schlägt einen Outbound-Fetch von der Seite, die du gerade debuggst.
Analytics standardmäßig. Die Codebase unterstützt einen optionalen, privacy-erhaltenden Cloudflare-Web-Analytics-Token, der aber aus bleibt, sofern der Betreiber ihn nicht explizit aktiviert. Die gehostete Version auf taskkit.net hat ihn ebenfalls aus.
Konten und serverseitige Historie. Speichern und Teilen passieren via URL-Fragmente, wo unterstützt. Nichts wird auf einem Server abgelegt, weil es keinen Server gibt.

TaskKit's JWT-Tools ausprobieren

JWT-Decoder

Token einfügen, Claims inspizieren und die Signatur gegen einen Schlüssel, eine JWKS oder ein eingebettetes x5c-Zertifikat verifizieren.

JWT-Encoder

Token lokal mit HS, RS, PS, ES oder EdDSA signieren. Der Private Key bleibt im Tab.

Methodik

Getestet am 2026-05-05 in Chrome mit gelöschtem Cache und First-Party-Cookies. Netzwerkanfragen wurden vom Seitenaufruf bis zum ersten Tastendruck gezählt. Die Feature-Matrix spiegelt das Verhalten beider Tools an diesem Datum wider und wird neu geprüft, sobald eines der Tools eine wesentliche Änderung ausliefert.

jwt.io ist eine Marke des jeweiligen Inhabers. Diese Seite steht in keiner Verbindung zu jwt.io und wird nicht von jwt.io unterstützt.