Handytool
Ontwikkelaarsgids5 min leestijdBijgewerkt 24 feb 2026

Instant Dev Utility

Decodeer Elke JWT en Inspecteer de Claims Direct

Handytool's JWT decoder splitst elke JSON Web Token in header, payload en claims — met vervaldatum controles en leesbare timestamps — allemaal in je browser, zonder serververbinding.

JWT-decoder openenAlle artikelen

Belangrijkste punten

  • 01Decodeer elke JWT en inspecteer header, payload en standaard claims in één keer.
  • 02De exp, nbf en iat claims worden omgezet naar leesbare timestamps met geldig/verlopen tags.
  • 03Decoderen gebeurt volledig lokaal — veilig voor het plakken van echte productietokens bij debugging.
  • 04De decoder verifieert handtekeningen niet — dat moet server-side gebeuren met de sleutel van de uitgever.

Waarom Je een JWT Decoder Nodig Hebt

JSON Web Tokens zien eruit als willekeurige ruis totdat je beseft dat het drie Base64URL-gecodeerde segmenten zijn gescheiden door punten. Het eerste segment is de header (algoritme en tokentype), het tweede is de payload (de claims: gebruikers-ID, rollen, vervaldatum) en het derde is de handtekening. Bij het debuggen van een verificatieprobleem, een verlopen sessie of een kapotte OAuth-integratie, moet je eerst de payload lezen.

Dit handmatig doen betekent splitsen op punten, Base64URL decoderen en Unix-timestamps omzetten naar leesbare datums. Handytool's JWT decoder doet dit allemaal automatisch en voegt geldigheid tags toe aan de timing claims zodat je in één oogopslag kunt zien of een token nog actief is.

Hoe Je een JWT Token Decodeert

  1. 01

    Kopieer de JWT

    Pak de token uit je browser's DevTools (Application > Cookies, of het Network panel Authorization header), uit een logbestand of uit je API client.

  2. 02

    Plak het in de decoder

    Plak de volledige token — inclusief alle drie segmenten gescheiden door punten — in het invoerveld. De decoder identificeert de segmenten automatisch.

  3. 03

    Lees de header en payload

    Het gereedschap splitst de token en toont de header (algoritme, type) en payload (alle claims) als geformatteerde JSON.

  4. 04

    Controleer de timing claims

    De exp (vervaldatum), nbf (niet-voor) en iat (uitgegeven-op) Unix-timestamps worden omgezet naar ISO-datums. De decoder markeert exp als groen (geldig) of rood (verlopen) ten opzichte van je huidige lokale tijd.

Standaard JWT Claims Uitgelegd

Deze geregistreerde claimnamen verschijnen in de meeste JWTs.

  • 01iss (Issuer) — identificeert wie de token heeft gemaakt, meestal een URL of servicenaam.
  • 02sub (Subject) — de principal die de token vertegenwoordigt, meestal een gebruikers-ID.
  • 03aud (Audience) — de beoogde ontvanger(s) van de token; je server moet tokens voor anderen weigeren.
  • 04exp (Expiration) — Unix-timestamp waarna de token moet worden afgewezen.
  • 05nbf (Not Before) — Unix-timestamp voordat de token moet worden afgewezen.
  • 06iat (Issued At) — Unix-timestamp wanneer de token werd gemaakt; nuttig voor het detecteren van verouderde tokens.

Veilig om Echte Tokens in te Plakken bij Debugging

JWT-decodering gebeurt volledig in je browser met behulp van de native atob-functie en JSON.parse. Niets wordt naar een server verzonden — je token wordt in het geheugen gedecodeerd en lokaal weergegeven. Je kunt veilig echte access tokens en sessietokens van ontwikkelings- of staging-omgevingen plakken om verificatiestromen te debuggen.

Behandel JWTs echter als wachtwoorden. Ze verlenen toegang tot je systemen voor hun volledige levensduur. Plak geen productietokens van accounts met hoge privileges in enig gereedschap tenzij je zeker bent van de privacygaranties van het gereedschap — en roteer altijd een token als je denkt dat deze mogelijk is blootgesteld.

JWT Decoder Veelgestelde Vragen

Wat is een JWT?

Een JSON Web Token is een compact, URL-veilig formaat bestaande uit drie Base64URL-segmenten (header, payload, handtekening) gescheiden door punten. JWTs bevatten claims — beweringen over een gebruiker of sessie — en worden gebruikt voor verificatie, autorisatie en API-toegang.

Verifieert deze decoder de JWT-handtekening?

Nee. De decoder parseert alleen de header en payload. Handtekeningverificatie vereist de geheime of openbare sleutel van de uitgever en moet in je applicatiecode gebeuren met behulp van een betrouwbare bibliotheek.

Is het veilig om hier een echte access token in te plakken?

Decodering gebeurt volledig lokaal — de token wordt nooit verzonden. JWTs verlenen echter echte toegang, dus behandel ze als wachtwoorden. Deel ze niet, commit ze niet naar bronbeheer en roteer ze als ze mogelijk zijn blootgesteld.

Wat betekent de exp claim?

exp is de vervaldatum-timestamp — een Unix-geheel getal dat het moment vertegenwoordigt waarop de token niet meer geldig is. De decoder zet het om naar een leesbare ISO-datum en markeert het geldig of verlopen ten opzichte van je huidige lokale tijd.

Waarom is de JWT-payload zichtbaar zonder sleutel?

JWT-payloads zijn Base64URL-gecodeerd, niet versleuteld. Ze zijn ontworpen om leesbaar te zijn — de handtekening bewijst alleen authenticiteit, niet vertrouwelijkheid. Plaats nooit echt geheime gegevens in een JWT-payload tenzij je JSON Web Encryption (JWE) gebruikt.

Is de decoder gratis?

Ja. Handytool is gratis zonder registratie, geen snelheidslimieten en geen gegevensverzameling.

Gerelateerde tools

Doorgaan met Hulpmiddel-tools

Hulpmiddel-tools