JWT-decoder
Bekijk de header en claims van een JWT-token.
- Direct
- Gratis
- Privé (lokaal verwerkt)
- Zonder registratie
Zie wat je token werkelijk vervoert
Een JWT lijkt op ruis — in werkelijkheid is het base64url-gecodeerde JSON, voor iedereen leesbaar. Plak een token: de tool splitst en decodeert de header en payload, formatteert de JSON, zet timestamps om in datums en vertelt of het token verlopen is.
Anatomie van een JWT
| Deel | Inhoud | Voorbeeld |
|---|---|---|
| Header | Algoritme en type | {"alg":"HS256","typ":"JWT"} |
| Payload | De claims (bedrijfsgegevens) | {"sub":"1234567890","exp":1716239022} |
| Handtekening | HMAC of asymmetrische handtekening | SflKxwRJ… (gecodeerd binair) |
Geregistreerde claims om te kennen
- iss (issuer): wie het token heeft uitgegeven — je authenticatieserver.
- sub (subject): over wie het gaat — de gebruikersidentificatie.
- aud (audience): voor wie het bestemd is — de API die het moet accepteren.
- exp / nbf / iat: het tijdvenster van geldigheid, als Unix-timestamps.
Veiligheidsherinnering: decoderen is niet verifiëren. Een plausibel ogend token kan vervalst zijn; alleen server-side handtekeningverificatie (met de juiste sleutel en het juiste algoritme) is gezaghebbend. Bewaar geen geheimen in de payload: die is openbaar.
Veelgestelde vragen
Wat is een JWT?
Een JSON Web Token (RFC 7519) is een compact token van drie base64url-gecodeerde delen gescheiden door punten: een header (algoritme), een payload (de claims: identiteit, vervaldatum…) en een handtekening die de integriteit garandeert.
Is een JWT decoderen hetzelfde als “kraken”?
Nee. De header en payload zijn niet versleuteld, alleen base64url-gecodeerd: iedereen kan ze lezen. De veiligheid van een JWT zit in de handtekening, die wijziging voorkomt — niet het lezen.
Verifieert deze tool de handtekening?
Nee, bewust niet: hij decodeert en toont de inhoud, meer niet. Handtekeningverificatie vereist de geheime of publieke sleutel en hoort server-side te gebeuren. Vertrouw een token nooit alleen op basis van de gedecodeerde inhoud.
Wat betekenen exp, iat en nbf?
Het zijn Unix-timestamps: exp = vervaldatum, iat = uitgiftedatum, nbf = datum waarvóór het token ongeldig is. De tool zet ze om naar leesbare datums en meldt of het token verlopen is.
Is het veilig om hier een echt token te plakken?
Het decoderen is 100 % lokaal; er wordt niets verzonden. Vermijd uit hygiëne toch het hanteren van geldige productietokens buiten beveiligde omgevingen, en trek per ongeluk blootgestelde tokens in.