Decodeer een JSON Web Token om de header en payload te inspecteren, met leesbare vervaldatum- en uitgiftetijden. Draait volledig in je browser; tokens worden nooit geüpload.
Hoe gebruik je JWT-decoder
Plak een JWT in de vorm header.payload.signature.
Lees de gedecodeerde header en payload als geformatteerde JSON.
Controleer de vervaldatum- en uitgiftetijden, en of het token verlopen is.
Veelgestelde vragen
Nee. Het decodeert en toont de header en payload. Het verifiëren van de handtekening vereist het ondertekeningsgeheim of de publieke sleutel, die je niet in een webtool zou moeten plakken.
Decoderen leest de Base64url-header en -payload, die niet versleuteld zijn. Verifiëren herberekent de handtekening met de sleutel om te bewijzen dat het token authentiek en ongewijzigd is.
Het decoderen gebeurt volledig in je browser, dus het token wordt niet geüpload. Behandel live tokens toch als geheimen en vermijd ze te plakken op gedeelde computers.
Het zijn standaard claims: iat is uitgegeven-op, nbf is niet-geldig-voor, en exp is de vervaltijd. De decoder zet deze Unix-timestamps om naar leesbare lokale tijd.
Ja. Vervallen verandert niet hoe een token wordt gedecodeerd, dus je kunt de claims van een verlopen token inspecteren en precies zien wanneer het verliep.
Een JWT is ondertekend, niet versleuteld. De payload is alleen Base64url-gecodeerd, dus iedereen kan hem lezen. Zet nooit geheimen in een JWT-payload.
Een JSON Web Token heeft drie delen gescheiden door punten: een Base64url-gecodeerde header, een Base64url-gecodeerde payload, en een handtekening. Deze decoder splitst en decodeert de eerste twee delen direct in je browser, en het token verlaat je apparaat nooit.
Het meest voorkomende gebruik is het inspecteren van een token dat een API teruggaf: wie het uitgaf (iss), wanneer het verloopt (exp), welke rechten het draagt (scope of roles), en of het al verlopen is. De vervaldatum wordt in leesbare lokale tijd getoond, niet als een ruwe Unix-timestamp, zodat je in een oogopslag ziet of het token nog geldig is.
Let op: deze tool decodeert en toont, hij verifieert de handtekening niet tegen een geheime sleutel. Voor handtekeningverificatie heb je het ondertekeningsgeheim of de publieke sleutel nodig, die nooit in een browsergebaseerde tool zouden moeten worden ingevoerd.
Gerelateerde tools
Genereer SHA-1, SHA-256, SHA-384 en SHA-512 hashes van willekeurige tekst, direct in je browser.
Converteer kleuren tussen HEX, RGB en HSL met een live voorbeeld.
Converteer Unix-timestamps naar leesbare datums en terug: UTC, lokaal, ISO 8601 en relatieve tijd. Seconden en milliseconden worden automatisch herkend.
Percent-encodeer en decodeer URL's en URL-componenten, UTF-8-veilig.
We gebruiken essentiële cookies om de site te laten werken. Met jouw toestemming laden we ook Google AdSense, dat advertentiecookies plaatst. Zie ons privacybeleid.