ByteCompress

JWT Decoder

De JWT Decoder decodeert JSON Web Tokens direct in je browser zonder dat er gegevens worden geüpload. Het toont de header, payload en handtekening van het token met een overzicht van claims en vervaldatum.

0 chars
FreeClient-sideNo signup

JWT Decoder decodeert JSON Web Tokens (JWT) volgens RFC 7519 via base64url-decoding en TextDecoder voor veilige UTF-8 weergave, volledig client-side in je browser. Dit betekent dat je token nooit extern wordt verstuurd, wat maximale privacy garandeert. De tool toont direct de header met algoritme en type, de payload met claims zoals sub, iss, iat en exp, en de handtekening. Voor verdere analyse kun je deze output combineren met tools zoals Base64 Decode of JSON Formatter om de inhoud beter begrijpelijk te maken.

Hoe te gebruiken

  1. Plak je JWT-token in het invoerveld. Een JWT bestaat uit drie delen gescheiden door punten (header.payload.signature).
  2. De tool decodeert automatisch elk deel met base64url-decoding en converteert de bytes naar UTF-8 tekst via TextDecoder.
  3. Bekijk de gedecodeerde header met het gebruikte algoritme (bijvoorbeeld HS256 of RS256) en het token type (JWT).
  4. Controleer de payload met claims zoals sub (subject), iss (issuer), iat (issued at) en exp (expiration time), inclusief een indicatie of het token verlopen is.
  5. De handtekening wordt weergegeven als base64url-encoded string; deze tool verifieert deze niet omdat daarvoor een geheime sleutel nodig is.

Hoe het werkt

De JWT Decoder verwerkt het token client-side met JavaScript, zonder externe servers. Het gebruikt base64url-decoding, een variant van base64 zonder '+' en '/' tekens, om de drie delen van het JWT te decoderen. Daarna zet de tool de bytes om naar UTF-8 tekst met TextDecoder, wat problemen met speciale tekens voorkomt. De header en payload zijn JSON-objecten, die geparset worden om claims te tonen. De handtekening is een cryptografische hash maar wordt hier alleen weergegeven, niet geverifieerd. Deze aanpak vereist geen dependencies, wat zorgt voor een snelle en veilige werking in elke moderne browser.

Voorbeeld

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaXNzIjoiZXhhbXBsZS5jb20iLCJpYXQiOjE2MTYyMzkwMjIsImV4cCI6MTYxNjI0MjYyMn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Header:

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:

{
  "sub": "1234567890",
  "iss": "example.com",
  "iat": 1616239022,
  "exp": 1616242622
}

Signature: SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Wanneer te gebruiken

  • Als ontwikkelaar wil je snel de inhoud van een JWT bekijken zonder complexe tooling of server-zijde verificatie.
  • Designers of QA-specialisten die claims willen controleren tijdens het testen van authenticatieflows.
  • SEO-specialisten die inzicht zoeken in JWT's die worden gebruikt voor API-toegang of beveiligde content.
  • Studenten en docenten die willen begrijpen hoe JWT's zijn opgebouwd en welke informatie ze bevatten.
  • In combinatie met Hash Generator om signature hashes te vergelijken zonder geheime sleutels te delen.

Veelgestelde Vragen

Verifieert de JWT Decoder de handtekening van een JWT?

Nee, de JWT Decoder toont alleen de handtekening als base64url-gecodeerde string. Voor verificatie is de geheime sleutel of publieke sleutel nodig, wat deze tool niet verwerkt. Dit voorkomt dat gevoelige sleutels nodig zijn en houdt de tool simpel en veilig.

Welke algoritmes worden ondersteund in de header van een JWT?

De tool decodeert de alg waarde uit de header, vaak HS256 (HMAC met SHA-256), RS256 (RSA met SHA-256) of none. De tool ondersteunt alle algoritmes die conform RFC 7519 zijn, maar voert zelf geen cryptografische verificatie uit.

Waarom wordt base64url-decoding gebruikt in plaats van standaard base64?

Base64url gebruikt een aangepaste tekenreeks zonder '+' en '/' om URL- en bestandssysteemvriendelijk te zijn. Dit voorkomt problemen met encoding in webomgevingen. De tool decodeert base64url volgens de RFC 7515 specificatie om correcte weergave te garanderen.

Worden mijn JWT-gegevens naar een server gestuurd?

Nee, alle verwerking gebeurt lokaal in je browser met JavaScript. Er vindt geen verzending van gegevens plaats, wat maximale privacy en veiligheid biedt. Dit is essentieel bij gevoelige authenticatietokens.

Kan ik de gedecodeerde payload exporteren?

Ja, de gedecodeerde JSON payload kan eenvoudig gekopieerd worden voor verder gebruik. Voor een leesbare weergave kun je ook de Json Formatter gebruiken om de JSON netjes te structureren.