Monu Tools

JWT-decoder

Decodeer een JSON Web Token om de header en payload te inspecteren, met leesbare vervaldatum- en uitgiftetijden. Draait volledig in je browser; tokens worden nooit geüpload.

Hoe gebruik je JWT-decoder

  1. 01

    Plak een JWT in de vorm header.payload.signature.

  2. 02

    Lees de gedecodeerde header en payload als geformatteerde JSON.

  3. 03

    Controleer de vervaldatum- en uitgiftetijden, en of het token verlopen is.

Wat een JWT-decoder je laat zien

Een JSON Web Token bestaat uit drie delen, gescheiden door punten: een Base64URL-gecodeerde header, een Base64URL-gecodeerde payload en een signature. Deze decoder splitst en decodeert de eerste twee delen direct in je browser, zodat je kunt lezen wat een token daadwerkelijk bevat.

Het meest voorkomende gebruik is het inspecteren van een token die een API heeft teruggegeven: wie het heeft uitgegeven (iss), wanneer het verloopt (exp), welke rechten het bevat (scope of roles) en of het al is verlopen.

Hoe het decoderen werkt

De tool neemt de header- en payload-segmenten en decodeert hun Base64URL-inhoud terug naar leesbare JSON. Er wordt niets ergens naartoe gestuurd: het splitsen en decoderen gebeurt lokaal op het moment dat je een token plakt.

Verlooptijd en tijdstempels lezen

De verlooptijd wordt getoond in leesbare lokale tijd, niet als ruwe Unix-tijdstempel, zodat je in een oogopslag ziet of de token nog geldig is. Hetzelfde geldt voor andere tijd-claims zoals iat en nbf, die datums worden die je echt kunt interpreteren.

Decoderen is niet verifiëren

Deze tool decodeert en toont, hij verifieert de signature niet tegen een geheime sleutel. Iedereen kan een JWT-payload lezen zonder sleutel, want alleen de signature is beschermd, niet de inhoud.

Voor signatureverificatie heb je de ondertekeningssleutel of publieke sleutel nodig, die je nooit in een browsergebaseerde tool moet invoeren. Plak hier geen geheimen.

Privacy

De token verlaat nooit je apparaat. Al het decoderen draait in je browser, dus niets van wat je plakt wordt geüpload of opgeslagen.

Veelgestelde vragen

Verifieert het de handtekening?

Nee. Het decodeert en toont de header en payload. Het verifiëren van de handtekening vereist het ondertekeningsgeheim of de publieke sleutel, die je niet in een webtool zou moeten plakken.

Wat is het verschil tussen decoderen en verifiëren?

Decoderen leest de Base64url-header en -payload, die niet versleuteld zijn. Verifiëren herberekent de handtekening met de sleutel om te bewijzen dat het token authentiek en ongewijzigd is.

Is het veilig om mijn token hier te plakken?

Het decoderen gebeurt volledig in je browser, dus het token wordt niet geüpload. Behandel live tokens toch als geheimen en vermijd ze te plakken op gedeelde computers.

Wat betekenen exp, iat en nbf?

Het zijn standaard claims: iat is uitgegeven-op, nbf is niet-geldig-voor, en exp is de vervaltijd. De decoder zet deze Unix-timestamps om naar leesbare lokale tijd.

Kan ik een verlopen token decoderen?

Ja. Vervallen verandert niet hoe een token wordt gedecodeerd, dus je kunt de claims van een verlopen token inspecteren en precies zien wanneer het verliep.

Waarom is mijn payload leesbaar zonder sleutel?

Een JWT is ondertekend, niet versleuteld. De payload is alleen Base64url-gecodeerd, dus iedereen kan hem lezen. Zet nooit geheimen in een JWT-payload.

Bronnen

Deze tool insluiten

Voeg deze tool toe aan je eigen website. Kopieer het fragment hieronder. Het blijft automatisch up-to-date.

<iframe src="https://monu.tools/embed/nl/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Gerelateerde tools