> base64 decoder | paste | decode <

Fügen Sie den Base64-String in den EINGABE-Bereich oben ein — der Decoder läuft automatisch beim Tippen (Auto-Dekodierung ist standardmäßig aktiviert). Der dekodierte Text erscheint sofort im AUSGABE-Bereich. Sie können auch ausdrücklich [DECODE] klicken oder Strg/Cmd + Enter verwenden. Alles läuft lokal in Ihrem Browser; nichts wird an einen Server gesendet — das Einfügen von JWT-Tokens, OAuth-State oder vertraulichen Daten ist sicher.

Alle. Der Decoder erkennt automatisch und akzeptiert:
• Standard-Base64 (RFC 4648) — Alphabet A-Z a-z 0-9 + / mit =-Padding.
• URL-sicheres Base64 (RFC 4648 §5) — Alphabet mit - und _ statt + und /. Wird von JWT, OAuth, Google-APIs und AWS-S3-Presigned-URLs verwendet.
• Ungepolstertes Base64 — die abschließenden =-Zeichen werden weggelassen. Häufig bei JWT, wo ein Decoder das Padding automatisch ergänzen muss.
• Leerzeichen-tolerant — Zeilenumbrüche, Tabs und Leerzeichen innerhalb des Base64-Strings werden vor der Dekodierung entfernt (verarbeitet MIME-umgebrochene 76-Spalten-Ausgabe aus E-Mail-Bodys).

Das erkannte Format wird als Badge unter den Buttons angezeigt, damit Sie wissen, welche Variante der Decoder Ihrer Eingabe zugeordnet hat.

Die meisten Dekodierungsfehler haben eine dieser fünf Ursachen:

1. Die Eingabe ist gar nicht Base64. Viele verwechseln Base64 mit Hex, Base32 oder URL-Kodierung. Base64 verwendet nur A-Z a-z 0-9 + / = (oder - _ für URL-sicher). Enthält der String %20, ist es Prozent-Kodierung; besteht er nur aus 0-9 a-f, ist es wahrscheinlich Hex.

2. Abschneidung. Die Base64-Länge muss nach dem Padding ein Vielfaches von 4 sein. Ein Copy-Paste, das die abschließenden == abschneidet, verursacht "ungültige Länge"-Fehler. Dieser Decoder füllt automatisch auf, aber stark abgeschnittene Strings schlagen dennoch fehl.

3. Gemischtes URL-sicher und Standard. Wenn +/-_ alle vorhanden sind, ist der String mehrdeutig und wahrscheinlich beschädigt. Nur eine Variante sollte verwendet werden.

4. Doppelte Kodierung. Manchmal wird ein String zweimal Base64-kodiert. Einmaliges Dekodieren liefert Kauderwelsch, das selbst wieder Base64 ist. Nochmal dekodieren, um den finalen Text zu erhalten.

5. Original-Bytes sind kein UTF-8. Base64 dekodiert zu Bytes. Sind die Originalbytes kein gültiges UTF-8 (z. B. Rohbinärdaten wie ein verschlüsselter Blob oder ein PNG), sieht die dekodierte Ausgabe wie Mojibake aus. Das ist erwartet — verwenden Sie stattdessen ein Base64-zu-Datei-Tool.

Ein JWT hat drei durch Punkte getrennte Teile: header.payload.signature. Alle drei sind URL-sicheres Base64 ohne Padding. Um das Payload zu inspizieren:

1. Kopieren Sie das mittlere Segment (zwischen den beiden Punkten).
2. Fügen Sie es in den Decoder oben ein. Auto-Dekodierung behandelt das URL-sichere Alphabet und ergänzt fehlendes Padding.
3. Sie erhalten das JSON-Payload mit Claims wie iss, sub, exp, iat.

Die Signatur (drittes Segment) ist eine binäre HMAC- oder RSA-Ausgabe — beim Dekodieren als Text entsteht Kauderwelsch, was zu erwarten ist. Für einen vollständigen JWT-Inspektor mit Signaturprüfung nutzen Sie unseren speziellen JWT-Decoder.

Sicherheitshinweis: Ein JWT zu dekodieren bedeutet nicht, es zu verifizieren. Jeder kann ein JWT-Payload lesen — das ist beabsichtigt. Die Signatur beweist, dass das Token vom Aussteller stammt; sie wird separat mit dem öffentlichen Schlüssel oder gemeinsamen Geheimnis des Ausstellers verifiziert.

Ja — jede größere Plattform bringt einen Base64-Decoder mit:

macOS / Linux (bash/zsh):
echo 'SGVsbG8=' | base64 -d — gibt Hello aus. Auf macOS -D verwenden, falls -d nicht funktioniert. Für URL-sichere Eingabe vorher durch tr '_-' '/+' pipen.

Windows PowerShell:
[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('SGVsbG8='))

Python:
import base64
base64.b64decode('SGVsbG8=').decode('utf-8') # Hello
base64.urlsafe_b64decode(s + '===').decode() # URL-sicher mit Auto-Pad

Node.js:
Buffer.from('SGVsbG8=', 'base64').toString('utf-8')

Browser-DevTools:
atob('SGVsbG8=') — funktioniert in jeder Konsole. Für UTF-8-Strings mit new TextDecoder().decode(Uint8Array.from(atob(s), c => c.charCodeAt(0))) umhüllen.

PHP: base64_decode('SGVsbG8=')
Ruby: Base64.decode64('SGVsbG8=')
Go: base64.StdEncoding.DecodeString("SGVsbG8=")

Ja — dieser Decoder ist sicherer als serverseitige Tools, weil nichts Ihren Browser verlässt. Die Dekodierung erfolgt vollständig in JavaScript auf Ihrem Gerät über die nativen atob()- und TextDecoder-APIs. Es gibt keinen Netzwerkaufruf, keinen Upload, kein Logging, keine Analytics auf dem Eingabeinhalt. Sie können das selbst verifizieren, indem Sie den Netzwerk-Tab in den Browser-DevTools öffnen — Sie werden null Anfragen sehen.

Allerdings ist Base64 keine Verschlüsselung — es ist nur Kodierung. Jeder mit dem Base64-String kann ihn dekodieren. Also, während dieses Tool sicher ist, sollten Sie trotzdem:
• Niemals Screenshots dekodierter JWTs teilen, die noch nicht abgelaufen sind.
• Anmeldedaten rotieren, die irgendwo leaken (Logs, Screenshots, geteilter Chat).
• Dekodierte OAuth-State-, CSRF-Tokens und Session-IDs bis zur Invalidierung als Geheimnisse behandeln.

Für Unternehmens-/regulierte Umgebungen, in denen selbst der Base64-String sensibel ist, können Sie diese Seite offline speichern (Cmd/Strg + S) — sie funktioniert nach einem Laden vollständig luftdicht, da die Dekodierungslogik reines JavaScript ist.

Eine Data URI folgt der Syntax data:[<mediatype>][;base64],<data>. Um nur die Payload zu dekodieren:

1. Finden Sie das Komma. Alles davor sind Metadaten (data:image/png;base64), alles danach ist die Base64-kodierte Datei.
2. Kopieren Sie nur den Teil nach dem Komma in diesen Decoder.
3. Bei Binärinhalten (PNG, JPG, PDF) ist die dekodierte Ausgabe Rohbyte — die Textdarstellung zeigt Mojibake. Das ist erwartet.
4. Um ein Data-URI-Bild anzuzeigen, fügen Sie die gesamte data:...-URI in die Adressleiste Ihres Browsers ein — der Browser dekodiert und rendert sie direkt.
5. Um die Bilddatei zu speichern, verwenden Sie unser spezielles Base64-zu-Bild-Tool, das die vollständige Data URI handhabt und als PNG/JPG/WebP herunterlädt.

Data URIs finden sich häufig in: CSS-background-image-Regeln, Inline-SVG-Icons, E-Mail-Signaturbildern, in JSON-API-Antworten kodierten PDF-Anhängen sowie Electron/VS-Code-Extension-Icon-Bundles.

Kodierung nimmt beliebige binäre oder Textdaten und erzeugt einen ASCII-String, der nur druckbare Zeichen verwendet — sicher für den Transport über Nur-Text-Kanäle (E-Mail, URLs, JSON). Dekodierung kehrt das um: Ein ASCII-Base64-String wird zu den Originalbytes.

Schlüsseleigenschaften:
• Verlustfreier Round-Trip: decode(encode(x)) === x für alle Byte-Eingaben. Es gehen keine Daten verloren.
• Keine Verschlüsselung: Base64 bietet null Geheimhaltung. Jeder kann es dekodieren.
• Größen-Overhead: Die kodierte Ausgabe ist ~33 % größer als die Eingabe (4 Ausgabebytes pro 3 Eingabebytes).
• Anwendungsfälle: JWT-Tokens, MIME-E-Mail-Anhänge, HTTP-Basic-Auth-Header, OAuth-Codes, S3-Presigned-URLs, Inline-Bilder in HTML/CSS.

Diese Seite widmet sich dem Dekodieren. Für die andere Richtung (Text/Datei → Base64) nutzen Sie unseren Base64-Encoder auf der Startseite oder unseren Bild-zu-Base64-Konverter für Bilddateien.

Ja, im Rahmen der Browser-Speichergrenzen. Der Decoder akzeptiert unbegrenzte Eingabelänge — wir haben mit 50-MB-Base64-Strings (~37 MB dekodiert) auf modernen Laptops getestet. Performance:

• < 100 KB: sofort, keine UI-Verzögerung.
• 1 – 10 MB: Dekodierung dauert ~50–500 ms, je nach CPU.
• 10 – 100 MB: Der Browser kann kurz einfrieren (2–10 s), da atob synchron ist. Deaktivieren Sie zuerst auto-decode und klicken Sie [DECODE] manuell.
• > 100 MB: Sie stoßen an Browser-Speichergrenzen. Für Gigabyte-große Base64-Dateien verwenden Sie ein Kommandozeilen-Tool (base64 -d).

Wenn der dekodierte Inhalt eine Binärdatei ist (PNG, PDF, ZIP), zeigt der Textausgabebereich Mojibake. Um die dekodierten Bytes als Datei herunterzuladen, nutzen Sie unser Base64-zu-Bild-Tool (behandelt Bilder) oder den Kommandozeilen-Ansatz: echo '<base64>' | base64 -d > output.bin.

Ja. Nachdem die Seite einmal geladen wurde, erfolgt die gesamte Dekodierung clientseitig in JavaScript — kein Netzwerk wird benötigt. Um ihn vollständig offline zu machen:

1. Seite speichern: Drücken Sie Strg+S (Windows/Linux) oder Cmd+S (macOS) und speichern Sie als "Webseite, vollständig". Der Decoder funktioniert aus der gespeicherten HTML.
2. Als PWA installieren (falls unterstützt): Manche Browser bieten "Diese App installieren" für base64.sh — gibt Ihnen einen Launcher mit Offline-Zugriff.
3. In DevTools verwenden: Die native atob()-Funktion funktioniert in jeder Browserkonsole ohne diese Seite. Für eine schnelle Dekodierung: atob('SGVsbG8=').

Offline-Betrieb ist nützlich für: luftdichte Sicherheitsforschung, Pentesting-Labore, Unternehmensumgebungen mit strengen Datenabflussregeln und Flüge/Züge ohne Internet.