JWT-decoder en -verifier

Decodeer JSON Web Token-headers en payloads lokaal, inspecteer geregistreerde claims en verifieer HS-, RS-, PS- en ES-handtekeningen met een secret, PEM-public key, JWK of JWKS.

Token
Plak een compacte JWT. De header en payload worden lokaal gedecodeerd voordat er een handtekeningcontrole wordt uitgevoerd.
Handtekeningverificatie
Verifieer de JWS-handtekening met een gedeeld secret, PEM-public key, JWK of JWKS.
auto

Auto gebruikt de alg-waarde uit de JWT-header. Handmatige selectie moet nog steeds overeenkomen met de header.

Gebruik platte tekst voor HS-algoritmen. Gebruik een PEM-public key, JWK of JWKS voor RS-, PS- en ES-algoritmen. Waarden worden niet opgeslagen.

Header
Netjes opgemaakte JSON die uit het tokensegment is gedecodeerd.
Payload
Netjes opgemaakte JSON die uit het tokensegment is gedecodeerd.
Geregistreerde claims
Snelle controles voor veelvoorkomende tijdgebaseerde JWT-claims.
  • Verloopt op 2030-01-01T00:00:00.000Z.Geldig

Wat is een JWT-decoder en -verifier?

Een JSON Web Token is een compacte tekenreeks met drie base64url-segmenten: een header, een payload en een handtekening. Deze tool decodeert de header en payload in je browser, zodat je de tokenstructuur kunt inspecteren zonder deze naar een server te sturen.

Handtekeningverificatie controleert of de token is ondertekend met de key en het algoritme die je verwacht. Gebruik een gedeeld secret voor HS256-, HS384- of HS512-tokens. Gebruik een PEM-public key, JWK of JWKS voor RS-, PS- en ES-tokens.

Wanneer je deze gebruikt

Gebruik de decoder bij het debuggen van authenticatiestromen, het controleren van OAuth- of OpenID Connect-claims, het vergelijken van omgevingen of het bevestigen dat een backend de verwachte waarden voor audience, issuer, subject, expiration en key identifier uitgeeft.

Gebruik verificatie wanneer je het bijbehorende secret of de public key hebt en moet bevestigen dat de header, payload en handtekening nog bij elkaar horen. De tool markeert ook exp, nbf en iat, zodat veelvoorkomende klok- en verloopproblemen direct zichtbaar zijn.

Beveiligingsnotities

JWT-payloads zijn alleen gecodeerd, niet versleuteld. Iedereen met de token kan de claims lezen, tenzij de token een afzonderlijke versleutelde JWE is, die deze tool niet verwerkt.

Plak geen productietokens of private secrets op gedeelde machines. De tool draait lokaal in je browser en slaat de token of het verificatiemateriaal niet op, maar de veiligste workflow blijft om waar mogelijk kortlevende testtokens en public keys te gebruiken.