JWT-decoder & Verificateur
Decodeer JSON Web Tokens en verifieer hun handtekeningen (HS256, RS256, ES256, EdDSA) volledig in je browser via de Web Crypto API.
Hoe het werkt
De JWT-decoder (JSON Web Token) decodeert en toont de header, de payload en de handtekening van een JWT-token zonder de handtekening aan de serverzijde te verifiëren.
Hoe te gebruiken:
- Plak uw JWT-token (formaat xxxxx.yyyyy.zzzzz) in het invoerveld.
- Het hulpmiddel toont de gedecodeerde header en payload in leesbare JSON.
- De handtekening wordt weergegeven maar niet geverifieerd (vereist de geheime sleutel).
Voorbeeld: Een sessie-JWT-token → toont gebruikers-ID, rol, vervaldatum.
Beperkingen: Handtekeningverificatie wordt niet uitgevoerd — vertrouw de inhoud van een JWT niet zonder verificatie aan de serverzijde. Decodeer geen tokens met gevoelige gegevens op onveilige apparaten.
Privacy: De decodering is volledig lokaal.
Praktijkvoorbeeld
Plak een JWT uit je authenticatieflow en de tool splitst hem op de punten en decodeert elk deel uit base64url: de header (bijv. {"alg":"HS256","typ":"JWT"}), de payload met claims als sub, iat en exp, en de ruwe handtekening. Tijdstempels worden leesbare datums en de vervalstatus wordt voor je berekend — een verlopen token wordt direct gemarkeerd, wat de meest gestelde debugvraag beantwoordt zonder terminal. Het decoderen gebeurt volledig lokaal, dus een productietoken verlaat je machine nooit.
Gebruiksscenario's
- Authenticatiefouten in een web- of mobiele app debuggen door te inspecteren welke claims een token bevat
- Verifiëren dat een verlopen of aangepast token correct wordt afgewezen door je autorisatielogica
- Controleren of je identity provider tokens ondertekent met de juiste sleutel en algoritme
- JWT-structuur, claims en veelgemaakte fouten (alg none, key confusion, ontbrekende exp) met een echt voorbeeld uitleggen
- Snelle triage bij een productie-incident waarbij een token wordt afgewezen door een downstream service
Veelgestelde vragen
- Verifieert de decoder de handtekening?
- Nee, het toont alleen de gedecodeerde gegevens. Verificatie vereist de geheime sleutel aan de serverzijde.
- Is het gevaarlijk om een JWT te decoderen?
- Nee, de gegevens zijn alleen Base64-gecodeerd, niet versleuteld. Iedereen kan ze lezen.
- Wat bevat de payload?
- Gewoonlijk het gebruikers-ID, rollen, vervaldatum en andere claims.
- Wat is exp in de payload?
- Het is de vervaldatum van het token als Unix-tijdstempel.
- Wordt mijn token naar een server verzonden?
- Nee, de decodering is volledig lokaal.