JWT Decoder

Plak een JWT en zie direct de header, payload en handtekening.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
Wat is een JWT?

                
Een JSON Web Token (JWT, RFC 7519) is een open standaard voor het veilig en compact overdragen van claims tussen twee partijen. JWT's worden gebruikt in moderne web-API's voor authenticatie en autorisatie — bijvoorbeeld na het inloggen om de gebruiker bij elk volgend verzoek te identificeren.

                
Belangrijk: Een JWT is niet versleuteld, alleen ondertekend. Iedereen die het token bezit, kan de inhoud lezen. Sla nooit wachtwoorden of gevoelige gegevens op in de payload.


                
Structuur van een JWT

                
    
                    
  • Header — beschrijft het tokentype (typ) en het ondertekeningsalgoritme (alg), bv. HS256, RS256.
    • 
                    
  • Payload — bevat de claims (gegevens) als JSON, base64url-gecodeerd. Zowel standaard- als aangepaste claims zijn toegestaan.
    • 
                    
  • Handtekening — cryptografische handtekening over header + payload, gemaakt met het algoritme in alg.
    • 
                


                
Standaard-claims (RFC 7519)

                
    
                    
  • iss — Issuer (uitgever van het token)
    • 
                    
  • sub — Subject (meestal de gebruiker-ID)
    • 
                    
  • aud — Audience (bedoelde ontvanger van het token)
    • 
                    
  • exp — Expiration Time (vervaltijd als Unix-timestamp)
    • 
                    
  • iat — Issued At (uitgiftedatum)
    • 
                    
  • nbf — Not Before (niet geldig vóór deze tijd)
    • 
                


                
Is deze tool veilig?

                
Ja. Het decoderen gebeurt volledig in je browser met JavaScript. Er wordt geen token naar een server gestuurd en niets wordt gelogd. Je kunt de implementatie op elk moment bekijken in de ontwikkelaarstools van je browser. Plak productie-tokens toch alleen in vertrouwde omgevingen.