Handytool
HulpmiddelLokaal uitvoeren

JWT-decoder

Decodeer JSON Web Tokens en inspecteer hun header, payload en claims — volledig in je browser, nooit naar een server verzonden.

JWT
0 regels0 bytes
Gedecodeerd
0 regels0 bytes

Handytool decodeert alleen de header en payload. Handtekeningen moeten server-side met de sleutel van de uitgever worden geverifieerd.

Over JWT-decoder

Handytool's JWT-decoder parseert elke JSON Web Token in zijn header en payload, benadrukt de standaardclaims (iss, sub, aud, iat, exp, nbf) en toont of het token al is verlopen. Omdat decodering zuiver lokaal is, kun je echte toegangstokens en sessietokens plakken zonder ze je apparaat te laten verlaten. Handig bij het debuggen van auth-flows, OAuth-integraties of API's van derden die ondoorzichtig uitziende JWT's terugsturen.

Functies van JWT-decoder

  • 01

    Header, payload en claims in één oogopslag

    De decoder splitst je JWT in zijn drie segmenten, pretty-print de header en payload als JSON, en toont standaardclaims — algoritme, onderwerp, uitgever, publiek, uitgegeven-op, verstrijking — in een compacte samenvatting boven de onbewerkte uitvoer.

  • 02

    Vervallen en timingcontroles

    De exp-claim wordt vertaald naar een ISO-timestamp en getagd als geldig of verlopen relatief tot je huidige klok. Hetzelfde voor nbf (niet-voor) en iat (uitgegeven-op). Geen handmatige Unix-naar-Date-conversies meer.

  • 03

    Alleen decoder — nooit geüpload

    Tokens worden in je browser gedecodeerd met native atob. Niets wordt ooit naar een server gestuurd. Veilig voor het plakken van productie-JWT's, API-toegangstokens of sessiecookies bij het debuggen.

Veelgestelde vragen over JWT-decoder

Wat is een JWT?
Een JSON Web Token is een compacte, URL-veilige tokenindeling bestaande uit drie Base64URL-gecodeerde segmenten gescheiden door punten: een header (algoritme en type), een payload (de claims) en een handtekening. JWT's worden veel gebruikt voor authenticatie, autorisatie en korte-termijnAPI-toegang.
Verifieert deze decoder de handtekening?
Nee. De decoder parseert alleen de header en payload om te laten zien wat erin zit. Handtekeningsverificatie vereist het geheim of de publieke sleutel van de uitgever, die op je server moet blijven — plak het nooit in een webtool. Verifieer handtekeningen server-side in je app.
Is het veilig om hier een echte JWT te plakken?
Decodering vindt geheel in je browser plaats — het token wordt nooit verzonden. JWT's zijn echter niet versleuteld (iedereen met het token kan de claims lezen), dus behandel ze als wachtwoorden: deel ze niet, commit ze niet en roteer ze als ze lekken.
Waarom wordt de handtekening weergegeven maar niet geverifieerd?
De handtekening wordt weergegeven zodat je deze kunt vergelijken met wat je server tijdens het debuggen produceert. Werkelijke verificatie vereist de ondertekeningssleutel (HMAC-geheim of RSA/EC publieke sleutel), waarop de decoder geen toegang tot heeft en ook niet zou moeten hebben.
Wat betekent 'exp'?
exp is de vervalgclaim — een Unix-timestamp waarna het token moet worden afgewezen. De decoder converteert het naar een ISO-timestamp en toont een groene tag als het nog in de toekomst ligt, of een rode tag als het token al is verlopen.

Gerelateerde tools

Hulpmiddel

Ontdek meer tools

Alle tools