RUNWEBTOOLS
Nederlands

JWT-decoder

Decodeer en inspecteer JSON Web Tokens.

Live — decodeert terwijl je typt

Gebruik op elke pagina (bookmarklet)

Wil je JWT-decoder gebruiken zonder de pagina te verlaten waarop je zit? Sleep de knop hieronder naar je bladwijzerbalk en klik erop op een willekeurige website — JWT-decoder opent daar ter plekke en draait volledig in je browser.

JWT-decoder← sleep deze knop naar je bladwijzerbalk

Gebruik verantwoord: Een bookmarklet draait op de pagina waarop je erop klikt. Vermijd gevoelige sites zoals online bankieren, betalingen of zorg — gebruik is op eigen risico. Alles wordt lokaal verwerkt en er worden geen gegevens verzonden. Zie onze Voorwaarden.

  1. Toon de bladwijzerbalk als die verborgen is — Ctrl+Shift+B (+Shift+B op de Mac).
  2. Sleep de knop hierboven naar de bladwijzerbalk.
  3. Open een willekeurige website en klik op de bladwijzer — het JWT-decoder-paneel verschijnt rechtsboven. Gebruik ✛ om van hoek te wisselen en ›/‹ om het tegen de rand te vouwen en weer uit te klappen.
  4. Klik nogmaals op de bladwijzer (of op ✕) om het te sluiten.
Lukt slepen niet? Kopieer het en maak een nieuwe bladwijzer met dit als URL:

Let op: enkele sites met strikt beveiligingsbeleid kunnen bookmarklets blokkeren.

Voorbeelden

Header & payload decoderen

Invoer

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc

Uitvoer

Header:  { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }

Het algoritme & de rol inspecteren

Invoer

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig

Uitvoer

Header:  { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }

Over deze tool

Deze gratis online JWT-decoder leest een JSON Web Token en toont de header en payload als opgemaakte JSON, direct in je browser. Plak een token en het wordt live gedecodeerd. Alles draait lokaal zonder upload — je token verlaat je apparaat nooit.

Zo gebruik je het

  1. Plak je JWT in de invoer (of klik op Voorbeeld).
  2. Lees de gedecodeerde header en payload en kopieer een van beide.
  3. Bekijk de tijd-claims om te zien wanneer het token is uitgegeven of verloopt.

Alleen decoderen — niet verifiëren

De payload van een JWT is base64url-gecodeerd, niet versleuteld, dus iedereen kan die lezen. Deze tool decodeert die ter inspectie maar verifieert de handtekening niet (waarvoor de ondertekeningssleutel nodig is). Verifieer tokens voor beveiligingsbeslissingen altijd op je server.

Veelgestelde vragen

Is deze JWT-decoder gratis?

Ja — een volledig gratis online JWT-decoder zonder registratie.

Wordt mijn token naar een server gestuurd?

Nee. Het token wordt volledig in je browser gedecodeerd zonder upload, dus het verlaat je apparaat nooit — belangrijk, want tokens zijn gevoelige inloggegevens.

Verifieert het de handtekening?

Nee. Dit is een decoder/inspecteur — hij leest de header en payload, maar verifieert de handtekening niet, waarvoor het secret of de publieke sleutel nodig is. Vertrouw op een server nooit een niet-geverifieerd token.

Wat zit er in een JWT?

Drie door punten gescheiden base64url-delen: een header (algoritme en type), een payload (claims zoals sub, iat, exp) en een handtekening. Deze tool decodeert de header en de payload.

Is de payload versleuteld?

Nee. De payload van een standaard-JWT is alleen base64url-gecodeerd, niet versleuteld — iedereen kan die lezen. Zet nooit geheimen in een JWT-payload.

Wat betekenen iat en exp?

Het zijn Unix-timestamps: iat is wanneer het token is uitgegeven en exp wanneer het verloopt. De tool toont ze als leesbare datums en geeft aan of het token verlopen is.

Kan ik een token decoderen dat ik op een andere pagina heb geselecteerd?

Ja — voeg het bookmarklet toe, selecteer een token op een willekeurige pagina en klik erop om de selectie ter plekke te decoderen.

Gerelateerde tools