JWT-decoder

Decodeer en inspecteer JWT-tokens (header en payload).

Beveiliging

Over JWT

Een JWT heeft drie base64url-geëncodeerde delen gescheiden door punten: header (algoritme, type), payload (claims zoals user id of expiratie) en handtekening. Deze tool decodeert de eerste twee delen zodat je ze kunt inspecteren. Hij verifieert de handtekening niet — gebruik je server of een crypto-bibliotheek daarvoor bij authenticatie.

Hoe te gebruiken JWT Decoder

  1. Plak je volledige JWT-string in het invoerveld. Het token moet drie delen hebben gescheiden door punten (header.payload.signature).
  2. Klik op Decoden om het token te parsen. De gedecodeerde header en payload verschijnen direct als geformatteerde JSON.
  3. Gebruik de knoppen Header kopiëren of Payload kopiëren om een van beide secties naar je klembord te kopiëren voor verder gebruik.
  4. Bekijk de claims in de payload — let op velden zoals exp (vervaldatum), iat (uitgiftedatum), sub (onderwerp) en eventuele aangepaste claims.

Belangrijkste kenmerken

  • Directe decodering — Plak een JWT en zie de header en payload onmiddellijk, zonder wachten of paginavernieuwingen.
  • 100% client-side — Alle decodering gebeurt in je browser met JavaScript. Je token wordt nooit naar een server gestuurd.
  • Geformatteerde JSON-uitvoer — Resultaten worden weergegeven als geformatteerde, ingesprongen JSON voor eenvoudig lezen.
  • Kopiëren met één klik — Kopieer de gedecodeerde header of payload met één knopklik.
  • Geen installatie vereist — Werkt in elke moderne browser zonder extensies, downloads of registratie.

Wanneer dit hulpmiddel te gebruiken

  • API-authenticatieproblemen debuggen door tokenclaims en vervaltijden te inspecteren
  • Verifiëren dat een JWT-payload de verwachte gebruikers-ID, rollen of machtigingen bevat
  • Het algoritme controleren dat in de header is opgegeven (bijv. HS256, RS256)
  • Snel tokendata lezen tijdens ontwikkeling zonder decoderingslogica te schrijven
  • JWT-structuur leren voor educatieve doeleinden

Technische details

De decoder splitst de JWT-string op het puntscheidingsteken en past vervolgens base64url-decodering toe op de eerste twee segmenten (header en payload). De gedecodeerde bytes worden als JSON geparsed en met inspringing weergegeven. Base64url verschilt van standaard Base64 door + te vervangen door - en / door _, en het weglaten van paddingtekens. Het derde segment (handtekening) wordt niet gedecodeerd omdat het een binaire hash is die de geheime sleutel of publieke sleutel vereist voor verificatie. Deze tool ondersteunt tokens die zijn ondertekend met elk algoritme (HS256, RS256, ES256, enz.) omdat het alleen leest — het valideert niet.

Conclusie

De JWT Decoder is een essentiële tool voor elke ontwikkelaar die werkt met token-gebaseerde authenticatie. Het laat je snel claims inspecteren, problemen debuggen en tokeninhoud begrijpen — allemaal zonder je data bloot te stellen aan externe services. Combineer het met onze JWT Generator voor een complete JWT-ontwikkelingsworkflow.

Veelgestelde vragen

Wat is een JWT?
JWT (JSON Web Token) is een compacte manier om data tussen partijen te versturen. Het heeft drie delen (header, payload, handtekening) in base64url, gescheiden door punten. Vaak gebruikt voor API-authenticatie en sessietokens.
Is het veilig om mijn JWT hier te decoden?
Deze tool decodeert alleen de header en payload — hij verifieert de handtekening niet en stuurt de token nergens naartoe. Decoden gebeurt in je browser. Plak geen tokens met zeer gevoelige data als je op een gedeelde computer bent.
Waar is deze tool voor?
JWT's decoden is handig voor debugging: je kunt claims (bijv. expiratie, user id) en header (bijv. algoritme) zien zonder een API aan te roepen. Deze tool verifieert de handtekening niet; gebruik je backend of een dedicated bibliotheek voor verificatie.
Kan ik tokens decoderen die met elk algoritme zijn ondertekend?
Ja. Omdat de decoder alleen de base64url-geëncodeerde header en payload leest, werkt het met elk ondertekeningsalgoritme (HS256, RS256, ES256, PS256, enz.). Het algoritmeveld is zichtbaar in de gedecodeerde header.