ToolDeck

Base64 in Java dekodieren — getDecoder().decode() Anleitung

·Backend Engineer·Geprüft vonAisha Osei·Veröffentlicht

Nutze das kostenlose Base64 Decode Online direkt im Browser – keine Installation erforderlich.

Base64 Decode Online online testen →

Base64-Dekodierung in Java ist etwas, auf das ich alle paar Tage zurückgreife — um Secrets aus Kubernetes-Umgebungsvariablen zu lesen, binäre Payloads aus REST-APIs zu verarbeiten oder JWT-Tokens während einer Debugging-Session zu inspizieren. Die eingebaute java.util.Base64-Klasse (seit JDK 8) bietet drei Decoder-Varianten: getDecoder() für Standard-Base64, getUrlDecoder() für URL-sichere Eingaben und getMimeDecoder() für zeilenumgebrochene Daten wie E-Mail-Anhänge. Für eine schnelle Überprüfung ohne Code schreiben erledigt ToolDecks Base64-Decoder das sofort im Browser. Dieser Guide zielt auf Java 8+ ab und behandelt alle drei Decoder, Streaming mit wrap(InputStream), JWT-Payload-Extraktion, Datei- und API-Response-Dekodierung, Apache Commons Codec als Alternative sowie die vier häufigsten Fehler, die in Produktion zu korrupten Daten führen.

  • Base64.getDecoder().decode(s) ist der Standardansatz — eingebaut in java.util.Base64 seit JDK 8, keine Abhängigkeiten nötig.
  • Verwende getUrlDecoder() für JWT-Tokens und OAuth-Payloads — sie nutzen das Alphabet mit - und _, nicht + und /.
  • getMimeDecoder() ignoriert Zeilenumbrüche und Whitespace, was ihn zur richtigen Wahl für E-Mail-Anhänge und PEM-Zertifikate macht.
  • decoder.wrap(InputStream) dekodiert on the fly für große Dateien, ohne alles in den Speicher zu laden.
  • Der Standard-Decoder ist strikt — abschließende Zeilenumbrüche, Leerzeichen oder Zeichen aus dem falschen Alphabet werfen sofort eine IllegalArgumentException.

Was ist Base64-Dekodierung?

Base64-Kodierung wandelt Binärdaten in eine 64-Zeichen-ASCII-Darstellung um, damit sie sicher über rein textbasierte Kanäle übertragen werden können — JSON-Felder, HTTP-Header, XML-Dokumente, E-Mail-Bodys. Die Dekodierung kehrt das um: Jede Gruppe von 4 Base64-Zeichen wird auf 3 ursprüngliche Bytes zurückgemappt. Das =-Padding am Ende gibt an, wie viele Bytes zur Auffüllung der letzten Gruppe hinzugefügt wurden. Base64 ist keine Verschlüsselung — jeder kann es umkehren. Der Zweck ist Transportsicherheit, nicht Geheimhaltung.

Typische Java-Dekodierungsszenarien: Konfigurationswerte aus Base64-kodierten Umgebungsvariablen extrahieren, binäre Dateiinhalte aus Cloud-API-Antworten entpacken, PEM-kodierte Zertifikate lesen und JWT-Token-Payloads beim Debugging inspizieren.

Before · text
After · text
ZGItcHJvZC51cy1lYXN0LTEuYW1hem9uYXdzLmNvbTo1NDMy
db-prod.us-east-1.amazonaws.com:5432

Base64.getDecoder().decode() — Die Standard-Dekodierungsmethode

Die java.util.Base64-Klasse wurde in JDK 8 eingeführt und ersetzte den alten sun.misc.BASE64Decoder, auf den alle angewiesen waren. Keine externen Abhängigkeiten nötig — einfach import java.util.Base64 und Base64.getDecoder().decode() aufrufen. Die Methode akzeptiert einen String oder ein byte[] und gibt ein byte[] mit den dekodierten Daten zurück.

Minimales Arbeitsbeispiel

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;

public class DecodeCredential {
    public static void main(String[] args) {
        // Kubernetes-Secret-Wert, Base64-kodiert
        String encoded = "ZGItcHJvZC51cy1lYXN0LTEuYW1hem9uYXdzLmNvbTo1NDMy";

        byte[] decodedBytes = Base64.getDecoder().decode(encoded);
        String connectionString = new String(decodedBytes, StandardCharsets.UTF_8);

        System.out.println(connectionString);
        // db-prod.us-east-1.amazonaws.com:5432
    }
}

Gib beim Konstruieren des Strings immer StandardCharsets.UTF_8 an. Der argumentlose Konstruktor new String(bytes) verwendet die plattformabhängige Standard-Kodierung, die zwischen Systemen variiert. Auf einem Windows-Server mit Cp1252 als Standard werden Multi-Byte-UTF-8-Zeichen lautlos korrumpiert.

Round-Trip-Verifizierung

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;

public class RoundTrip {
    public static void main(String[] args) {
        String original = "redis://cache-prod.internal:6379/session-store";

        String encoded = Base64.getEncoder().encodeToString(
            original.getBytes(StandardCharsets.UTF_8)
        );
        System.out.println(encoded);
        // cmVkaXM6Ly9jYWNoZS1wcm9kLmludGVybmFsOjYzNzkvc2Vzc2lvbi1zdG9yZQ==

        byte[] decoded = Base64.getDecoder().decode(encoded);
        String recovered = new String(decoded, StandardCharsets.UTF_8);

        System.out.println(recovered.equals(original)); // true
    }
}

Dekodierung in einen vorab allokierten Puffer

Die drei-Argument-Überladung decode(byte[] src, byte[] dst) schreibt direkt in einen Zielpuffer und gibt die Anzahl der geschriebenen Bytes zurück. Das vermeidet eine zusätzliche Allokation auf häufig genutzten Pfaden:

Java 8+
import java.util.Base64;

public class DecodeToBuffer {
    public static void main(String[] args) {
        byte[] src = "eyJob3N0IjoiMTAuMC4xLjUwIiwicG9ydCI6ODQ0M30=".getBytes();
        byte[] dst = new byte[1024]; // vorab allokiert

        int len = Base64.getDecoder().decode(src, dst);
        String result = new String(dst, 0, len);

        System.out.println(result);
        // {"host":"10.0.1.50","port":8443}
    }
}
Hinweis:decode() wirft eine IllegalArgumentException, wenn die Eingabe Zeichen außerhalb des Base64-Alphabets enthält (einschließlich Zeilenumbrüchen und Leerzeichen). Wenn deine Eingabe Whitespace enthalten könnte, wechsle zu getMimeDecoder() oder entferne ihn vorher mit encoded.strip().

Base64-Dekodierung mit nicht-standardmäßigen Typen und eigenen Objekten

Das rohe byte[] aus decode() muss oft in etwas Spezifischeres umgewandelt werden: eine UUID, ein serialisiertes Java-Objekt, eine Protobuf-Nachricht oder einen Zeitstempel. Der Decoder selbst gibt immer Bytes zurück — die Konvertierung in Domain-Typen liegt in deiner Verantwortung.

Base64 zu UUID

Java 8+
import java.util.Base64;
import java.nio.ByteBuffer;
import java.util.UUID;

public class DecodeUUID {
    public static UUID fromBase64(String encoded) {
        byte[] bytes = Base64.getUrlDecoder().decode(encoded);
        ByteBuffer bb = ByteBuffer.wrap(bytes);
        return new UUID(bb.getLong(), bb.getLong());
    }

    public static void main(String[] args) {
        // Kompakt Base64-kodierte UUID aus einer API-Antwort
        String encoded = "f47ac10b-58cc-4372-a567-0e02b2c3d479";
        UUID original = UUID.fromString(encoded);

        // Als Base64 kodieren (kompakte Form — 22 Zeichen statt 36)
        ByteBuffer bb = ByteBuffer.wrap(new byte[16]);
        bb.putLong(original.getMostSignificantBits());
        bb.putLong(original.getLeastSignificantBits());
        String compact = Base64.getUrlEncoder().withoutPadding()
            .encodeToString(bb.array());
        System.out.println(compact); // 9HrBC1jMQ3KlZw4CssPUeQ

        // Zurückdekodieren
        UUID recovered = fromBase64(compact);
        System.out.println(recovered); // f47ac10b-58cc-4372-a567-0e02b2c3d479
    }
}

Base64 zu deserialisiertem JSON-Objekt mit Jackson

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;
import com.fasterxml.jackson.databind.ObjectMapper;
import java.time.Instant;

public class DecodeJsonPayload {
    record DeployEvent(String service, String region, Instant deployedAt, int replicas) {}

    public static void main(String[] args) throws Exception {
        // Base64-kodierter JSON-Payload aus einer Message Queue
        String encoded = "eyJzZXJ2aWNlIjoicGF5bWVudC1nYXRld2F5Iiwi"
            + "cmVnaW9uIjoiZXUtd2VzdC0xIiwiZGVwbG95ZWRBdCI6"
            + "IjIwMjYtMDMtMTVUMTQ6MzA6MDBaIiwicmVwbGljYXMiOjR9";

        byte[] jsonBytes = Base64.getDecoder().decode(encoded);
        String json = new String(jsonBytes, StandardCharsets.UTF_8);
        System.out.println(json);
        // {"service":"payment-gateway","region":"eu-west-1",
        //  "deployedAt":"2026-03-15T14:30:00Z","replicas":4}

        ObjectMapper mapper = new ObjectMapper();
        mapper.findAndRegisterModules(); // picks up JavaTimeModule
        DeployEvent event = mapper.readValue(jsonBytes, DeployEvent.class);

        System.out.println(event.service());   // payment-gateway
        System.out.println(event.deployedAt()); // 2026-03-15T14:30:00Z
    }
}
Warnung:Verwende niemals ObjectInputStream zum Deserialisieren von nicht vertrauenswürdigen Base64-Daten. Java-Deserialisierungsangriffe sind gut dokumentiert — wenn der kodierte Inhalt aus einer externen Quelle stammt, parse ihn als JSON oder Protobuf statt native Java-Serialisierung zu verwenden.

Base64.Decoder — Methodenreferenz

Alle Methoden gehören zu java.util.Base64 und seiner inneren Klasse Base64.Decoder. Die drei Factory-Methoden auf Base64 geben unterschiedliche Decoder-Instanzen zurück; die Methoden decode() und wrap() liegen auf der Decoder-Instanz.

Methode
Rückgabe
Eingabetyp
Beschreibung
getDecoder()
Base64.Decoder
Standard-Decoder (RFC 4648 §4, Alphabet + und / mit =-Padding)
getUrlDecoder()
Base64.Decoder
URL-sicherer Decoder (RFC 4648 §5, Alphabet - und _ mit =-Padding)
getMimeDecoder()
Base64.Decoder
MIME-Decoder — ignoriert Zeilenumbrüche und ungültige Base64-Zeichen
decode(String src)
byte[]
String
Dekodiert den Eingabe-String in ein neues Byte-Array
decode(byte[] src)
byte[]
byte[]
Dekodiert das Eingabe-Byte-Array in ein neues Byte-Array
decode(byte[] src, byte[] dst)
int
byte[] + byte[]
Dekodiert in einen vorab allokierten dst-Puffer, gibt Anzahl geschriebener Bytes zurück
wrap(InputStream is)
InputStream
InputStream
Gibt einen Stream zurück, der Base64-Daten beim Lesen dekodiert

getMimeDecoder() — Zeilenumgebrochenes und MIME-Base64 dekodieren

Der Standard-Decoder lehnt alles außerhalb des Base64-Alphabets ab — und das schließt die \r\n-Zeilenumbrüche ein, die MIME-kodierter Inhalt immer enthält. E-Mail-Anhänge, PEM-Zertifikate und manche älteren API-Antworten brechen die Base64-Ausgabe auf 76 Zeichen pro Zeile um. getMimeDecoder() ignoriert Zeilentrennzeichen und alle Zeichen, die nicht zum Base64-Alphabet gehören, und verarbeitet das problemlos.

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;

public class MimeDecode {
    public static void main(String[] args) {
        // PEM-Zertifikat-Body — auf 76 Zeichen umgebrochen
        String pemBody = "LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0t\r\n"
            + "TUlJQm96Q0NBVWlnQXdJQkFnSUpBSXBhVDJU\r\n"
            + "aVFvZU1BMEdDU3FHU0liM0RRRU==";

        // getDecoder() würde hier IllegalArgumentException werfen
        byte[] decoded = Base64.getMimeDecoder().decode(pemBody);
        System.out.println(new String(decoded, StandardCharsets.UTF_8));
        // -----BEGIN CERTIFICATE-----
        // MIIBozCCAUigAwIBAgIJAIpaT2T...
    }
}
Hinweis:getMimeDecoder() ist tolerant: Er überspringt ungültige Zeichen, anstatt eine Exception zu werfen. Das ist für bekannte MIME-Daten in Ordnung, kann aber Korrumpierungen in beliebigen Eingaben lautlos verschlucken. Verwende getDecoder(), wenn du strikte Validierung brauchst.

Base64 aus einer Datei und API-Antwort dekodieren

Eine Base64-kodierte Datei von Disk lesen

Binärdateien (Bilder, Zertifikate, verschlüsselte Blobs) werden manchmal als Base64-Text auf Disk gespeichert. Datei lesen, dekodieren, binäre Ausgabe schreiben:

Java 8+
import java.util.Base64;
import java.io.IOException;
import java.nio.file.Files;
import java.nio.file.Path;

public class DecodeFile {
    public static void main(String[] args) {
        Path inputPath = Path.of("tls-cert.pem.b64");
        Path outputPath = Path.of("tls-cert.pem");

        try {
            String encoded = Files.readString(inputPath).strip();
            byte[] decoded = Base64.getMimeDecoder().decode(encoded);
            Files.write(outputPath, decoded);

            System.out.printf("Decoded %d bytes → %s%n", decoded.length, outputPath);
        } catch (IOException e) {
            System.err.println("File error: " + e.getMessage());
        } catch (IllegalArgumentException e) {
            System.err.println("Invalid Base64: " + e.getMessage());
        }
    }
}

Ein Base64-Feld aus einer HTTP-API-Antwort dekodieren

Cloud-APIs (AWS KMS, GitHub Contents, Vault) geben binäre Daten häufig als Base64-Strings innerhalb von JSON zurück. Erst JSON parsen, dann das Zielfeld dekodieren:

Java 11+
import java.util.Base64;
import java.nio.charset.StandardCharsets;
import java.net.http.HttpClient;
import java.net.http.HttpRequest;
import java.net.http.HttpResponse;
import java.net.URI;
import com.fasterxml.jackson.databind.JsonNode;
import com.fasterxml.jackson.databind.ObjectMapper;

public class DecodeApiResponse {
    public static void main(String[] args) {
        HttpClient client = HttpClient.newHttpClient();
        HttpRequest request = HttpRequest.newBuilder()
            .uri(URI.create("https://api.example.com/secrets/db-password"))
            .header("Authorization", "Bearer sk-prod-9f8e7d6c")
            .build();

        try {
            HttpResponse<String> response = client.send(
                request, HttpResponse.BodyHandlers.ofString());

            if (response.statusCode() != 200) {
                System.err.printf("Unexpected status: %d%n", response.statusCode());
                return;
            }

            ObjectMapper mapper = new ObjectMapper();
            JsonNode root = mapper.readTree(response.body());

            // API returns: {"name":"db-password","value":"cG9zdGdyZXM6eGs5...","version":3}
            String encodedValue = root.get("value").asText();
            byte[] decoded = Base64.getDecoder().decode(encodedValue);
            String secret = new String(decoded, StandardCharsets.UTF_8);

            System.out.println("Secret: " + secret);
            // Secret: postgres:xk9mP2qR@db-prod:5432/orders
        } catch (Exception e) {
            System.err.println("Failed to fetch secret: " + e.getMessage());
        }
    }
}
Hinweis:Kapsele den Decode-Aufruf in einem eigenen try-catch für IllegalArgumentException — getrennt von den Netzwerkfehlern. Wenn I/O-Exceptions und Dekodierungsfehler vermischt werden, wird das Debugging schwieriger — du willst sofort wissen, ob die API fehlerhafte Daten zurückgegeben hat oder das Netzwerk ausgefallen ist.

Base64-Dekodierung über die Kommandozeile

Du brauchst nicht immer ein Java-Programm. Jedes Linux- und macOS-System hat einen base64-Befehl, und JDK 9+ liefert jshell für interaktive Java- Einzeiler. Für schnelle Prüfungen beim Debugging sind diese schneller als das Kompilieren einer Klasse.

bash
# Base64-String dekodieren (Linux / macOS)
echo "eyJob3N0IjoiMTAuMC4xLjUwIiwicG9ydCI6ODQ0M30=" | base64 --decode
# {"host":"10.0.1.50","port":8443}

# Dekodieren und mit jq formatieren
echo "eyJob3N0IjoiMTAuMC4xLjUwIiwicG9ydCI6ODQ0M30=" | base64 --decode | jq .
# {
#   "host": "10.0.1.50",
#   "port": 8443
# }

# Schnelles Dekodieren mit jshell (JDK 9+)
echo 'System.out.println(new String(java.util.Base64.getDecoder().decode("c2VydmVyLWNvbmZpZw==")))' | jshell -
# server-config

# macOS verwendet -D statt --decode
echo "c2VydmVyLWNvbmZpZw==" | base64 -D

Zum direkten Einfügen kodierter Strings im Browser ist ToolDecks Base64-Decoder ohne jegliche Einrichtung sofort einsatzbereit — für Standard- und URL-sichere Varianten.

Hochperformante Alternative: Apache Commons Codec

Javas eingebautes java.util.Base64 ist bereits gut optimiert — JDK 11+ nutzt Intrinsics auf x86 für Kodierung und Dekodierung. Für die meisten Anwendungen gibt es keinen Grund, eine Drittanbieter-Bibliothek hinzuzuziehen. Dennoch bleibt Apache Commons Codec in Legacy-Codebases verbreitet und bietet Base64InputStream für Streaming-Dekodierung mit automatischer Whitespace-Behandlung.

XML (Maven)
<!-- pom.xml -->
<dependency>
    <groupId>commons-codec</groupId>
    <artifactId>commons-codec</artifactId>
    <version>1.17.0</version>
</dependency>
Java 8+
import org.apache.commons.codec.binary.Base64;

public class CommonsCodecDecode {
    public static void main(String[] args) {
        // Commons Codec ist toleranter — verarbeitet Whitespace und Zeilenumbrüche
        String encoded = "eyJob3N0IjoiMTAuMC4xLjUw\nIiwicG9ydCI6ODQ0M30=";
        byte[] decoded = Base64.decodeBase64(encoded);

        System.out.println(new String(decoded));
        // {"host":"10.0.1.50","port":8443}
    }
}

Der Hauptvorteil von Commons Codec gegenüber der eingebauten API ist die standardmäßige Toleranz gegenüber Whitespace und die Base64InputStream-Klasse, die Javas decoder.wrap() zeitlich vorausging. Ab Java 8+ deckt die eingebaute API alles ab, was Commons Codec bietet. Ich greife nur auf Commons Codec zurück, wenn das Projekt bereits davon abhängt.

Große Base64-Dateien per Stream mit decoder.wrap() verarbeiten

Eine 200-MB-Base64-Datei mit Files.readString() zu laden und dann decode() aufzurufen allokiert grob 350 MB Heap: den kodierten String plus das dekodierte Byte-Array. decoder.wrap(InputStream) dekodiert on the fly und hält den Speicherverbrauch konstant.

Java 8+
import java.util.Base64;
import java.io.*;
import java.nio.file.*;

public class StreamDecode {
    public static void main(String[] args) throws IOException {
        Path src = Path.of("database-dump.sql.b64");
        Path dst = Path.of("database-dump.sql");

        try (InputStream in = Base64.getMimeDecoder().wrap(
                 new BufferedInputStream(Files.newInputStream(src)));
             OutputStream out = new BufferedOutputStream(Files.newOutputStream(dst))) {

            byte[] buffer = new byte[8192];
            int bytesRead;
            long total = 0;
            while ((bytesRead = in.read(buffer)) != -1) {
                out.write(buffer, 0, bytesRead);
                total += bytesRead;
            }
            System.out.printf("Decoded %d bytes → %s%n", total, dst);
        }
    }
}

Ab Java 9+ kannst du die Read-Schleife durch in.transferTo(out) ersetzen — es macht dasselbe mit weniger Code. Verwende getMimeDecoder().wrap() statt getDecoder().wrap(), wenn die Datei Zeilenumbrüche enthalten könnte (PEM-Dateien, E-Mail-Exporte).

Java 9+
import java.util.Base64;
import java.io.*;
import java.nio.file.*;

public class StreamDecodeSimple {
    public static void main(String[] args) throws IOException {
        try (InputStream in = Base64.getMimeDecoder().wrap(
                 new BufferedInputStream(Files.newInputStream(Path.of("backup.tar.b64"))));
             OutputStream out = Files.newOutputStream(Path.of("backup.tar"))) {
            in.transferTo(out); // Java 9+
        }
    }
}
Warnung:getDecoder().wrap() toleriert keine Zeilenumbrüche im Stream. Wenn die Base64-Daten Newlines enthalten (auf 76 Zeichen umgebrochen), verwende getMimeDecoder().wrap() — andernfalls produziert der Stream lautlos korrumpierte Ausgabe oder wirft an einer unvorhersehbaren Leseposition eine Exception.

Base64-JWT-Payload in Java ohne JWT-Bibliothek dekodieren

Ein JWT besteht aus drei Base64url-kodierten Segmenten, getrennt durch Punkte. Das mittlere Segment ist der Payload — der Teil, der beim Debugging interessant ist. Man kann ihn dekodieren, ohne jjwt oder Nimbus einzubinden. Auf . aufteilen, den zweiten Teil mit getUrlDecoder() dekodieren und das resultierende JSON parsen:

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;

public class JWTInspect {
    public static String decodeJwtPayload(String token) {
        String[] parts = token.split("\\.");
        if (parts.length != 3) {
            throw new IllegalArgumentException(
                "Invalid JWT: expected 3 segments, got " + parts.length);
        }
        // JWT verwendet URL-sicheres Base64 ohne Padding
        byte[] payload = Base64.getUrlDecoder().decode(parts[1]);
        return new String(payload, StandardCharsets.UTF_8);
    }

    public static void main(String[] args) {
        String token = "eyJhbGciOiJSUzI1NiJ9"
            + ".eyJzdWIiOiJ1c3ItNjcyIiwiaXNzIjoiYXV0aC5leGFtcGxlLmNvbSIs"
            + "ImV4cCI6MTc0MTk1NjgwMCwicm9sZXMiOlsiYWRtaW4iLCJiaWxsaW5nIl19"
            + ".SIGNATURE_PLACEHOLDER";

        String payload = decodeJwtPayload(token);
        System.out.println(payload);
        // {"sub":"usr-672","iss":"auth.example.com",
        //  "exp":1741956800,"roles":["admin","billing"]}
    }
}

Häufige Fehler

Jeden dieser Fehler bin ich in Code-Reviews schon begegnet, und die ersten beiden sind für die große Mehrheit der Base64-bezogenen Produktionsfehler in Java-Services verantwortlich.

getDecoder() für URL-sichere Eingaben verwenden

Problem: JWT-Tokens und OAuth-Access-Tokens verwenden das URL-sichere Alphabet (- und _). Sie an getDecoder() zu übergeben wirft eine IllegalArgumentException, weil - nicht im Standard-Base64-Alphabet vorkommt.

Lösung: Prüfe deine Datenquelle: Tokens von Auth-Systemen benötigen getUrlDecoder(); MIME-Anhänge benötigen getMimeDecoder().

Before · Java
After · Java
// JWT-Header — URL-sicher, kein Padding
String header = "eyJhbGciOiJSUzI1NiJ9";
byte[] decoded = Base64.getDecoder().decode(header);
// IllegalArgumentException: Illegal base64 character 2d
String header = "eyJhbGciOiJSUzI1NiJ9";
byte[] decoded = Base64.getUrlDecoder().decode(header);
System.out.println(new String(decoded));
// {"alg":"RS256"}
Charset beim Konstruieren des Strings nicht angeben

Problem: new String(bytes) verwendet den Standard-Charset der JVM, der zwischen Umgebungen unterschiedlich ist. Ein Linux-CI-Server (UTF-8) und ein Windows-Produktionshost (Cp1252) liefern für dieselben Bytes unterschiedliche Ergebnisse.

Lösung: Übergib immer StandardCharsets.UTF_8 als zweites Argument.

Before · Java
After · Java
byte[] decoded = Base64.getDecoder().decode(encoded);
String result = new String(decoded);
// plattformabhängig — kann Multi-Byte-Zeichen korrumpieren
byte[] decoded = Base64.getDecoder().decode(encoded);
String result = new String(decoded, StandardCharsets.UTF_8);
// konsistent auf allen Plattformen
Einen String mit abschließendem Whitespace dekodieren

Problem: Base64-Strings, die aus Terminals kopiert oder aus Konfigurationsdateien gelesen werden, haben oft abschließende Newlines. Der Standard-Decoder lehnt jedes Zeichen außerhalb des Base64-Alphabets ab.

Lösung: Rufe .strip() auf der Eingabe auf, bevor du dekodierst, oder wechsle zu getMimeDecoder(), der Whitespace ignoriert.

Before · Java
After · Java
// Aus Umgebungsvariable gelesen — hat einen abschließenden Zeilenumbruch
String encoded = System.getenv("DB_PASSWORD_B64"); // "cG9zdGdyZXM=
"
byte[] decoded = Base64.getDecoder().decode(encoded);
// IllegalArgumentException: Illegal base64 character a
String encoded = System.getenv("DB_PASSWORD_B64");
byte[] decoded = Base64.getDecoder().decode(encoded.strip());
System.out.println(new String(decoded, StandardCharsets.UTF_8));
// postgres
Binärdaten in einen String umwandeln

Problem: new String(decoded) auf binärem Inhalt (Bilder, Protobuf, verschlüsselte Blobs) aufzurufen erzeugt einen ungültigen String. Die spätere Rückkonvertierung in Bytes korrumpiert die Daten lautlos, weil der String-Konstruktor ungültige UTF-8-Sequenzen ersetzt.

Lösung: Halte Binärdaten als byte[] durch deine gesamte Pipeline. Konvertiere nur in String, wenn du weißt, dass der Inhalt Text ist.

Before · Java
After · Java
byte[] decoded = Base64.getDecoder().decode(pngBase64);
String imageStr = new String(decoded); // korrumpiert Binärdaten
Files.writeString(Path.of("image.png"), imageStr); // defekte Datei
byte[] decoded = Base64.getDecoder().decode(pngBase64);
// Bytes direkt schreiben — keine String-Konvertierung
Files.write(Path.of("image.png"), decoded);

Methodenvergleich

Die eingebauten Decoder decken die meisten Anwendungsfälle ab. Apache Commons Codec und Guava sind Alternativen, denen man in älteren Codebases begegnen kann.

Methode
Kodierungsvariante
Ignoriert Whitespace
Streaming
Eigene Typen
Installation nötig
Base64.getDecoder()
Standard (+, /)
Nein (JDK 8+)
Base64.getUrlDecoder()
URL-sicher (-, _)
Nein (JDK 8+)
Base64.getMimeDecoder()
MIME (Zeilenumbrüche OK)
Nein (JDK 8+)
decoder.wrap(InputStream)
Alle Varianten
Je nach Decoder
Nein (JDK 8+)
Apache Commons Base64InputStream
Standard / URL-sicher
Ja (commons-codec)
Apache Commons Base64.decodeBase64()
Standard
Ja (commons-codec)
Guava BaseEncoding.base64().decode()
Standard
Ja (guava)

Für JWT-Tokens und moderne API-Payloads: getUrlDecoder(). Für E-Mail-Anhänge und PEM-Zertifikate: getMimeDecoder(). Für große Dateien, bei denen Speicher eine Rolle spielt: decoder.wrap(InputStream). Alles andere: getDecoder(). Apache Commons Codec lohnt sich nur, wenn es bereits in deinem Dependency-Tree enthalten ist.

Für schnelle Überprüfungen während der Entwicklung ist der Online-Base64-Decoder schneller als das Schreiben einer Einweg-Klasse.

Häufig gestellte Fragen

Wie dekodiere ich einen Base64-String in Java?

Importiere java.util.Base64 und rufe Base64.getDecoder().decode(encodedString) auf. Die Methode gibt ein byte[] zurück — mit new String(bytes, StandardCharsets.UTF_8) wird daraus lesbarer Text. Für URL-sicheres Base64 (wie in JWTs) ersetzt du getDecoder() durch getUrlDecoder().

Java 8+
import java.util.Base64;
import java.nio.charset.StandardCharsets;

byte[] decoded = Base64.getDecoder().decode("c2VydmVyLWNvbmZpZw==");
String result = new String(decoded, StandardCharsets.UTF_8);
System.out.println(result); // server-config

Was ist der Unterschied zwischen getDecoder() und getMimeDecoder() in Java?

getDecoder() ist strikt — es lehnt jedes Zeichen außerhalb des Base64-Alphabets ab, einschließlich Zeilenumbrüchen. getMimeDecoder() toleriert Zeilentrennzeichen (\r\n) und ignoriert alle ungültigen Base64-Zeichen. Das macht es zur richtigen Wahl für E-Mail-Anhänge und PEM-Zertifikate, bei denen die Daten auf 76 Zeichen pro Zeile umgebrochen sind.

Java 8+
String wrapped = "c2VydmVyLWNv\r\nbmZpZw==";

// getDecoder() wirft IllegalArgumentException
// Base64.getDecoder().decode(wrapped); // FAILS

// getMimeDecoder() verarbeitet es korrekt
byte[] decoded = Base64.getMimeDecoder().decode(wrapped);
System.out.println(new String(decoded)); // server-config

Wie dekodiere ich einen URL-sicheren Base64-String in Java?

Verwende Base64.getUrlDecoder().decode(encoded). Der URL-Decoder erwartet das in RFC 4648 §5 definierte Alphabet mit - und _ statt + und /. JWT-Tokens verwenden immer dieses Alphabet. Auch wenn Padding-Zeichen (=) entfernt wurden — was bei JWTs üblich ist — kommt der URL-Decoder damit zurecht, da er sowohl gepadde als auch ungepadde Eingaben akzeptiert.

Java 8+
import java.util.Base64;

// JWT-Header — URL-sicher, kein Padding
String jwtHeader = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9";
byte[] decoded = Base64.getUrlDecoder().decode(jwtHeader);
System.out.println(new String(decoded));
// {"alg":"HS256","typ":"JWT"}

Wie dekodiere ich eine große Base64-Datei per Stream in Java?

Verwende decoder.wrap(inputStream), um einen FileInputStream zu wrappen. Der zurückgegebene InputStream dekodiert Base64 beim Lesen on the fly, sodass der Speicherverbrauch unabhängig von der Dateigröße konstant bleibt. Leite ihn durch einen BufferedInputStream oder direkt in Files.copy() für optimalen Durchsatz.

Java 8+
import java.util.Base64;
import java.io.*;
import java.nio.file.*;

try (InputStream in = Base64.getDecoder().wrap(
        new BufferedInputStream(new FileInputStream("payload.b64")));
     OutputStream out = new FileOutputStream("payload.bin")) {
    in.transferTo(out);
}

Warum wirft Base64.getDecoder().decode() eine IllegalArgumentException?

Der Standard-Decoder ist strikt: Er lehnt Zeilenumbrüche, Leerzeichen und jedes Zeichen außerhalb von A-Za-z0-9+/= ab. Drei häufige Ursachen: Die Eingabe hat abschließende Zeilenumbrüche (trimmen), sie verwendet URL-sichere Zeichen wie - und _ (auf getUrlDecoder() wechseln), oder sie ist auf 76 Zeichen umgebrochen (auf getMimeDecoder() wechseln). Inspect die rohen Bytes, wenn die Fehlermeldung unklar ist.

Java 8+
String raw = "c2VydmVyLWNvbmZpZw==\n"; // abschließender Zeilenumbruch

// Option 1: Whitespace entfernen
byte[] decoded = Base64.getDecoder().decode(raw.strip());

// Option 2: MIME-Decoder verwenden, der Whitespace ignoriert
byte[] decoded2 = Base64.getMimeDecoder().decode(raw);

Kann ich Base64 in Java ohne java.util.Base64 dekodieren?

Ja, aber es gibt auf Java 8+ keinen guten Grund dafür. Vor Java 8 nutzte man sun.misc.BASE64Decoder (intern, ab Java 9+ entfernt), javax.xml.bind.DatatypeConverter.parseBase64Binary() (ab Java 11 entfernt) oder Apache Commons Codec. Alle drei sind entweder veraltet oder erfordern eine zusätzliche Abhängigkeit. Bleib bei java.util.Base64 — es ist schneller, liegt im JDK und unterstützt alle drei Varianten (Basic, URL-sicher, MIME).

Verwandte Tools

  • Base64 Encoder — Text oder Binärdaten im Browser zu Base64 kodieren, praktisch zum Generieren von Test-Fixtures zum Einfügen in Java-Unit-Tests.
  • JWT Decoder — alle drei JWT-Segmente auf einmal aufteilen und dekodieren, mit feldweiser Payload-Inspektion — schneller als eine Java-Klasse zu schreiben, wenn man nur einen Token lesen möchte.
  • URL Decoder — percent-kodierte URL-Strings dekodieren, nützlich wenn API-Antworten Base64url-Daten mit percent-kodierten Query-Parametern kombinieren.
  • JSON Formatter — nach dem Dekodieren eines Base64-JWT-Payloads oder einer API-Konfiguration das JSON hier einfügen, um die Struktur zu formatieren und zu validieren.
Auch verfügbar in:JavaScriptPythonGoC#
PN
Pavel NovakBackend Engineer

Pavel is a backend engineer with deep roots in the JVM ecosystem, working primarily with Java and Kotlin. He has extensive experience building data-intensive services and integrating third-party APIs at scale. He writes about modern Java features, the Jackson ecosystem, serialisation patterns, and practical approaches to keeping large codebases maintainable.

AO
Aisha OseiTechnischer Prüfer

Aisha is a Java engineer specialising in application security, Spring Security, and API design. She has worked on identity and access management systems, OAuth 2.0 integrations, and microservice security at scale. She writes about secure Java coding practices, token validation, cryptographic utilities, and the Spring ecosystem from a security-first perspective.