JWT Decoder
Decodeer een JWT om de header en payload te zien. Herkent een verlopen exp claim. Handtekening wordt NIET geverifieerd.
Snel antwoord: Decodeer een JWT om de header en payload te zien. Herkent een verlopen exp claim. Handtekening wordt NIET geverifieerd.
Laatst bijgewerkt
Veelgestelde vragen
- Hoe decodeer ik een JWT?
- Plak de token en de header en payload verschijnen onmiddellijk. De `iat`, `nbf` en `exp` claims worden weergegeven als menselijk leesbare tijdstempels.
- Verifieert dit de handtekening?
- Nee — en je moet nooit een gedecodeerde JWT op zichzelf vertrouwen. Verifieer altijd de handtekening server-side met de geheime of publieke sleutel voordat je enige claim vertrouwt.
- Hoe weet ik of een token is verlopen?
- Als de payload een `exp` claim heeft, vergelijken we deze met de huidige tijd en tonen we 'Verlopen' of 'Niet verlopen' naast de payload.
- Wat als de token verkeerd geformatteerd is?
- We tonen een vriendelijke fout: een JWT moet drie door punten gescheiden delen hebben (header.payload.signature) en de eerste twee moeten geldige base64url-gecodeerde JSON zijn.
- Worden URL-veilige tekens ondersteund?
- Ja — base64url decodering (`-` voor `+`, `_` voor `/`, geen opvulling) is de JWT standaard en daar houden we ons aan.
- Wordt de token ergens naartoe gestuurd?
- Nee. Decoderen gebeurt volledig in je browser, dus zelfs productie tokens zijn veilig om te plakken.
- Wat zit er in een JWT-header?
- Meestal `alg` (ondertekeningsalgoritme) en `typ` (altijd 'JWT'). Sommige tokens voegen `kid` toe om aan te geven welke sleutel ze heeft ondertekend.
- Wat zijn algemene payload claims?
- `sub` (onderwerp), `iss` (uitgever), `aud` (publiek), `iat` (uitgegeven op), `exp` (verloopt), `nbf` (niet voor). Apps voegen ook aangepaste claims toe.
- Waarom is base64url anders dan base64?
- JWT's reizen in URL's en headers, dus ze ruilen `+`/`/` voor `-`/`_` en laten `=` opvulling vallen om URL-veilig te blijven.
- Is deze JWT-decoder gratis?
- Ja — gratis, geen aanmelding, geen limieten.