Header, Payload und Ablaufzeit eines JWT dekodieren — der Token verlässt nie den Browser. Die Signatur wird nicht verifiziert.