Decodeer een JSON Web Token om de header en payload te inspecteren, met leesbare vervaldatum- en uitgiftetijden. Draait volledig in je browser; tokens worden nooit geüpload.
Hoe gebruik je JWT-decoder
Plak een JWT in de vorm header.payload.signature.
Lees de gedecodeerde header en payload als geformatteerde JSON.
Controleer de vervaldatum- en uitgiftetijden, en of het token verlopen is.
Een JSON Web Token bestaat uit drie delen, gescheiden door punten: een Base64URL-gecodeerde header, een Base64URL-gecodeerde payload en een signature. Deze decoder splitst en decodeert de eerste twee delen direct in je browser, zodat je kunt lezen wat een token daadwerkelijk bevat.
Het meest voorkomende gebruik is het inspecteren van een token die een API heeft teruggegeven: wie het heeft uitgegeven (iss), wanneer het verloopt (exp), welke rechten het bevat (scope of roles) en of het al is verlopen.
De tool neemt de header- en payload-segmenten en decodeert hun Base64URL-inhoud terug naar leesbare JSON. Er wordt niets ergens naartoe gestuurd: het splitsen en decoderen gebeurt lokaal op het moment dat je een token plakt.
De verlooptijd wordt getoond in leesbare lokale tijd, niet als ruwe Unix-tijdstempel, zodat je in een oogopslag ziet of de token nog geldig is. Hetzelfde geldt voor andere tijd-claims zoals iat en nbf, die datums worden die je echt kunt interpreteren.
Deze tool decodeert en toont, hij verifieert de signature niet tegen een geheime sleutel. Iedereen kan een JWT-payload lezen zonder sleutel, want alleen de signature is beschermd, niet de inhoud.
Voor signatureverificatie heb je de ondertekeningssleutel of publieke sleutel nodig, die je nooit in een browsergebaseerde tool moet invoeren. Plak hier geen geheimen.
De token verlaat nooit je apparaat. Al het decoderen draait in je browser, dus niets van wat je plakt wordt geüpload of opgeslagen.
Veelgestelde vragen
Nee. Het decodeert en toont de header en payload. Het verifiëren van de handtekening vereist het ondertekeningsgeheim of de publieke sleutel, die je niet in een webtool zou moeten plakken.
Decoderen leest de Base64url-header en -payload, die niet versleuteld zijn. Verifiëren herberekent de handtekening met de sleutel om te bewijzen dat het token authentiek en ongewijzigd is.
Het decoderen gebeurt volledig in je browser, dus het token wordt niet geüpload. Behandel live tokens toch als geheimen en vermijd ze te plakken op gedeelde computers.
Het zijn standaard claims: iat is uitgegeven-op, nbf is niet-geldig-voor, en exp is de vervaltijd. De decoder zet deze Unix-timestamps om naar leesbare lokale tijd.
Ja. Vervallen verandert niet hoe een token wordt gedecodeerd, dus je kunt de claims van een verlopen token inspecteren en precies zien wanneer het verliep.
Een JWT is ondertekend, niet versleuteld. De payload is alleen Base64url-gecodeerd, dus iedereen kan hem lezen. Zet nooit geheimen in een JWT-payload.
Deze tool insluiten
Voeg deze tool toe aan je eigen website. Kopieer het fragment hieronder. Het blijft automatisch up-to-date.
<iframe src="https://monu.tools/embed/nl/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Gerelateerde tools
Codeer tekst naar Base64 of decodeer Base64 terug naar tekst. UTF-8-veilig met automatische richtingsherkenning.
Percent-encodeer en decodeer URL's en URL-componenten, UTF-8-veilig.
Genereer SHA-1, SHA-256, SHA-384 en SHA-512 hashes van willekeurige tekst, direct in je browser.
Genereer een HMAC voor een bericht en geheime sleutel met SHA-1, SHA-256, SHA-384 of SHA-512, in je browser.