Decodeer JSON Web Tokens en verifieer hun handtekeningen (HS256, RS256, ES256, EdDSA) volledig in je browser via de Web Crypto API.

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

Hoe het werkt

Plak een JSON Web Token in het invoerveld — de tool splitst hem direct in zijn drie Base64URL-gecodeerde delen (header, payload, handtekening), decodeert de eerste twee naar JSON en toont ze opgemaakt. Standaardclaims zoals iat, nbf, exp, iss, sub en aud worden als leesbare datums of labels weergegeven, zodat je verlopen of nog niet geldige tokens in één oogopslag herkent. Plak om de handtekening te verifiëren het ondertekengeheim (voor HS256/HS384/HS512) of de publieke sleutel in PEM- of JWK-formaat (voor RS256, ES256, ES384, ES512 of EdDSA). De tool gebruikt de Web Crypto API om de handtekening over header.payload te herberekenen en te vergelijken met het handtekeningssegment in constante tijd — een groen badge betekent dat het token authentiek is, een rode dat de handtekening ongeldig is of de verkeerde sleutel is gebruikt. Alles draait lokaal: token, geheim en sleutel verlaten nooit je browser.

Gebruiksscenario's

Authenticatiefouten in een web- of mobiele app debuggen door te inspecteren welke claims een token bevat

Verifiëren dat een verlopen of aangepast token correct wordt afgewezen door je autorisatielogica

Controleren of je identity provider tokens ondertekent met de juiste sleutel en algoritme

JWT-structuur, claims en veelgemaakte fouten (alg none, key confusion, ontbrekende exp) met een echt voorbeeld uitleggen

Snelle triage bij een productie-incident waarbij een token wordt afgewezen door een downstream service