Pro — geen advertenties
advertisement
// JWT → header + payload

JWT-decoder

Plak een JSON Web Token om te zien wat er eigenlijk in zit — de header en payload, gedecodeerd en netjes opgemaakt.

advertisement

Wat het decoderen van een JWT je wel en niet vertelt

De header en payload van een JWT zijn gewoon Base64URL-gecodeerde JSON — iedereen kan ze decoderen en lezen, zonder geheim nodig, en dat is precies wat deze tool doet. Wat hij niet kan, is de handtekening verifiëren: daarvoor is het geheim of de publieke sleutel van de uitgever nodig, en die plak je bewust niet in een willekeurige website.

Controleert dit of het token geldig is of nog niet verlopen?

Nee — dit decodeert alleen de leesbare delen. Het verifiëren van de handtekening en het controleren van de vervaldatum ("exp") gebeurt op de server die het token heeft uitgegeven, met een geheim dat deze tool nooit te zien krijgt.

Hoort een JWT zo leesbaar te zijn?

Ja — de header en payload zijn alleen gecodeerd, niet versleuteld. Zet nooit geheimen of gevoelige gegevens rechtstreeks in een JWT-payload; daar is de handtekening voor bedoeld (bewijzen dat er niet mee geknoeid is), niet om de inhoud te verbergen.

Wordt mijn token ergens naartoe verstuurd?

Nee — het decoderen gebeurt volledig in je browser met pure JavaScript. Er wordt niets geüpload.

Convertburda — universele conversies
advertisement