Toolverse

JWT Decoder

Plak een JSON Web Token in om de header en payload als opgemaakte JSON te lezen. Timestamp claims worden weergegeven als leesbare UTC-datums. Decodering vindt plaats in uw browser.

Dit hulpmiddel decodeerdt het token alleen — het verifiëert de handtekening NIET. Vertrouw nooit op een gedecodeerd token als bewijs van authenticatie.

Timestamp claims (UTC)

iat
2018-01-18T01:30:22.000Z

Hoe te gebruiken

Plak een JSON Web Token in het vak. Een JWT bestaat uit drie base64url-segmenten gescheiden door punten — header, payload en handtekening, in die volgorde. Het hulpmiddel splitst het token op de punten en decodeert base64url van de eerste twee segmenten naar leesbare, opgemaakte JSON zodat u ze naast elkaar kunt inspecteren. De header beschrijft hoe het token is geproduceerd: het ondertekeningsalgoritme, zoals HS256 of RS256, en het tokentype. De payload bevat de claims — de werkelijke verklaringen die het token doet. Een token voor een ingelogde gebruiker noemt doorgaans een onderwerp (waar het token over gaat), een uitgever (wie het heeft gemaakt) en een vervaldatum, samen met eventuele aangepaste claims die de toepassing heeft toegevoegd. Timestamp claims worden het meest verkeerd gelezen. De standaard tijdclaims — iat (uitgegeven op), exp (verloopt) en nbf (niet eerder dan) — worden opgeslagen als seconden sinds de Unix epoch, wat in een oogopslag onleesbaar is. Het hulpmiddel converteert elk ervan naar een opgemaakte UTC-datum, zodat u onmiddellijk kunt zien of een token al is verlopen of nog niet geldig is. Decodering is geen verificatie, en het verschil doet ertoe. Iedereen die een JWT heeft, kan de header en payload lezen, omdat deze onderdelen alleen gecodeerd, niet versleuteld zijn. Alleen de handtekening — gecontroleerd tegen de ondertekeningssleutel — bewijst dat het token authentiek en ongewijzigd is. Dit hulpmiddel leest opzettelijk alleen; vertrouw nooit op de claims van een gedecodeerd token voor een veiligheidsbeslissing zonder de handtekening op uw server te verifiëren. Alles wordt volledig in uw browser uitgevoerd, dus het token dat u plakt, wordt nooit geüpload. Dit maakt de decoder veilig voor de dagelijkse taken waarvoor deze is gebouwd: foutopsporing van een authenticatiestroom, inspectie van waarom een sessie werd geweigerd, of controle van exact welke claims uw identiteitsprovider verstrekt.

Veelgestelde vragen

Verifieert dit de handtekening?
Nee. Het decodeerdt alleen de header en payload zodat u ze kunt lezen. Het verifiëren van een JWT vereist het ondertekeningsgeheim of de openbare sleutel, die dit hulpmiddel nooit vraagt. Behandel een gedecodeerd token niet als geverifieerd.
Wat zijn exp, iat en nbf?
Dit zijn standaard tijdclaims in seconden sinds de Unix epoch: iat (uitgegeven op), nbf (niet eerder dan) en exp (verloopt). Dit hulpmiddel converteert ze voor u naar UTC-datums.
Wordt mijn token ergens naartoe verzonden?
Nee. Decodering wordt volledig in uw browser uitgevoerd; het token wordt nooit geüpload. Vermijd echter om productietokens in een online hulpmiddel in te plakken.
Waarom kan ik de payload zonder wachtwoord lezen?
Omdat een JWT gecodeerd, niet versleuteld is. De header en payload zijn alleen base64url-gecodeerd — een omkeerbare indeling die iedereen kan decoderen — dus hun inhoud is volledig leesbaar zonder enige sleutel. De handtekening is de beveiligingslaag: het verbergt de gegevens niet, het bewijst dat de gegevens niet zijn gewijzigd. Plaats daarom nooit geheimen in een JWT-payload; behandel alles erin als openbaar.