Gratis online JWT-decoder — JSON Web Tokens decoderen, analyseren en verifieren
Welkom bij de JWT-decoder van Get-Tools, een gratis en krachtige browsertool die is ontworpen om JSON Web Tokens direct te decoderen, analyseren en verifieren. Of je nu een backend-ontwikkelaar bent die authenticatiestromen debugt, een beveiligingsingenieur die toegangscontroles controleert, of een student die leert over moderne webauthenticatie — deze tool biedt alles wat je nodig hebt om de inhoud van een JWT te begrijpen zonder software of browserextensies te installeren. Alle bewerkingen worden volledig in je browser uitgevoerd, wat betekent dat je tokens je apparaat nooit verlaten — een cruciaal privacyvoordeel ten opzichte van servergebaseerde alternatieven.
Wat is een JSON Web Token?
JSON Web Token (JWT, uitgesproken als "dzjot") is een open standaard gedefinieerd in de RFC 7519-specificatie voor het veilig verzenden van informatie tussen twee partijen als een compact, URL-veilig JSON-object. JWTs worden veel gebruikt in OAuth 2.0-systemen, OpenID Connect, single sign-on (SSO), microservice-architecturen en mobiele applicaties die communiceren met REST APIs. Een JWT bestaat uit drie Base64url-gecodeerde delen gescheiden door punten: een header, een payload en een handtekening.
JWT-structuur — De drie delen
1. Header (Koptekst)
De header is een klein JSON-object dat het tokentype (doorgaans "JWT") en het gebruikte ondertekeningsalgoritme specificeert, zoals HS256, RS256 of ES256. De keuze van het algoritme bepaalt rechtstreeks hoe de handtekening wordt aangemaakt en geverifieerd. Symmetrische algoritmen zoals HMAC gebruiken een enkele gedeelde geheime sleutel, terwijl asymmetrische algoritmen zoals RSA en ECDSA een publiek-privaat sleutelpaar gebruiken, dat beter geschikt is voor gedistribueerde systemen waar de verificerende partij de ondertekeningssleutel niet mag bezitten.
2. Payload (Inhoud)
De payload bevat de claims — informatie over de gebruiker, de uitgevende instantie en het token zelf. Er zijn drie categorieen: geregistreerde claims gedefinieerd door de JWT-specificatie (zoals sub voor onderwerp, iss voor uitgever, aud voor publiek, exp voor vervaldatum, iat voor uitgiftedatum en nbf voor "niet voor"), openbare claims in het IANA-register en prive-claims die tussen de partijen zijn overeengekomen. Tijdgerelateerde claims zijn bijzonder belangrijk omdat ze bepalen wanneer een token geldig wordt en wanneer het verloopt.
3. Handtekening (Signature)
De handtekening wordt gegenereerd door het algoritme dat in de header is opgegeven toe te passen op de gecodeerde header en payload, gecombineerd met een geheime of prive-sleutel. Wanneer de ontvanger het token ontvangt, kan hij de handtekening herberekenen met de bijbehorende sleutel en deze vergelijken met die in het token. Als ze overeenkomen, is het token authentiek en niet gewijzigd. Dit is het kernmechanisme dat JWT tot een betrouwbare methode voor stateless authenticatie maakt.
Hoe de Get-Tools JWT-decoder werkt
Wanneer je een JWT in het invoerveld plakt, splitst de tool het direct op in zijn drie delen en wijst aan elk een kleurcode toe: amber voor de header, groen voor de payload en paars voor de handtekening. Vervolgens wordt de Base64url gedecodeerd en de JSON-inhoud weergegeven in een gestructureerd, leesbaar formaat. Tijdclaims zoals exp, iat en nbf worden automatisch gedetecteerd en omgezet naar leesbare datums, met een live badge die aangeeft of het token nog geldig is of al is verlopen, samen met de exacte resterende of verstreken duur.
Belangrijkste functies
- Realtime decodering: resultaten verschijnen terwijl je typt, zonder op een knop te hoeven klikken
- Kleurgecodeerde tokendelen: header, payload en handtekening zijn visueel te onderscheiden
- Analyse van tijdclaims: automatische detectie van
exp,iatennbfmet geldigheidsbadges - Handtekeningverificatie: ondersteuning voor HMAC, RSA, RSA-PSS en ECDSA
- Kopieer met een klik: speciale knoppen om header en payload als JSON te kopieren
- Voorbeeldtoken: een ingebouwde JWT met geheime sleutel voor snel testen
- Volledige privacy: alle verwerking gebeurt in je browser — er worden geen gegevens naar een server gestuurd
Ondersteunde algoritmen
De tool ondersteunt de meest gebruikte JWT-ondertekeningsalgoritmen via de Web Crypto API: HMAC met SHA-256, SHA-384 en SHA-512 voor symmetrische ondertekening; RSASSA-PKCS1-v1_5 en RSA-PSS voor RSA-gebaseerde asymmetrische ondertekening; en ECDSA met de P-256-, P-384- en P-521-curven voor ondertekening op basis van elliptische curven.
Beveiligingsoverwegingen
Onthoud dat JWT Base64-gecodeerd is, niet versleuteld — iedereen die het token heeft, kan de inhoud ervan lezen. Neem nooit wachtwoorden, creditcardnummers of andere gevoelige gegevens op in de payload van een JWT. Verstuur tokens altijd via HTTPS, stel korte vervaltijden in voor gevoelige tokens, roteer ondertekeningssleutels regelmatig en geef de voorkeur aan asymmetrische algoritmen zoals RS256 of ES256 in productieomgevingen.