JWT-decoder
Decodeer en inspecteer JWT-tokens direct. Bekijk header, payload en vervaltoestand. 100% client-side, je tokens verlaten nooit je browser.
Header
Payload
Handtekening
⚠ Handtekening wordt alleen getoond, niet geverifieerd.
Referentie
JSON Web Tokens (JWT)
Een JWT (JSON Web Token) is een compact, URL-veilig tokenformaat gedefinieerd in RFC 7519. Het bestaat uit drie base64url-gecodeerde delen gescheiden door punten: header.payload.signature. JWT's worden veel gebruikt voor authenticatie en informatie-uitwisseling tussen partijen.
Structuur
Header — een JSON-object met het tokentype (typ) en het ondertekeningsalgoritme (alg), bijv. HS256 of RS256. Payload — een JSON-object met claims: geregistreerde claims zoals iss (uitgever), sub (onderwerp), exp (vervaltijd), iat (uitgegeven op); en aangepaste applicatieclaims. Handtekening — het resultaat van het ondertekenen van de gecodeerde header en payload met een geheim of privésleutel. Het zorgt ervoor dat het token niet is gemanipuleerd.
⚠ Beveiligingsopmerking
Decoderen is niet hetzelfde als verifiëren. Deze tool decodeert het token en toont de inhoud, maar verifieert de handtekening niet. Iedereen kan een JWT met willekeurige claims maken. Vertrouw JWT-claims nooit zonder de handtekening server-side te verifiëren met het juiste geheim of de juiste publieke sleutel. Gebruik in productie een bibliotheek zoals jsonwebtoken (Node.js) of PyJWT (Python).
Geregistreerde JWT-claims
RFC 7519 definieert zeven geregistreerde claims: iss (issuer) — wie het token heeft gemaakt. sub (subject) — de gebruiker of entiteit die het token vertegenwoordigt. aud (audience) — de beoogde ontvanger(s). exp (expiration time) — Unix-tijdstempel waarna het token ongeldig is. nbf (not before) — token is niet geldig voor dit tijdstip. iat (issued at) — wanneer het token is aangemaakt. jti (JWT ID) — een unieke identifier om replay-aanvallen te voorkomen.
Privacy
Alle decodering draait 100% in je browser. Er wordt geen data naar een server gestuurd.