JWT-decoder

Decodeer een JSON Web Token lokaal, inspecteer header- en payload-JSON, lees veelvoorkomende claims en bekijk tijdstempijnformatie zonder decodering als verificatie te beschouwen.

Alle JWT-decodering vindt lokaal in uw browser plaats. Tokens worden niet naar Decode It-servers gestuurd.

Alleen decoderen

Decodeert header en payload lokaal. Het verifieert geen handtekeningen en bewijst niet dat een token vertrouwd is.

Plak geen signing secrets, private keys of productie-tokens die u niet mag inspecteren.

Snelle voorbeelden

Plak een JWT om de header, payload, tijdclaims en ruwe segments te decoderen.

Wat een JWT-decoder toont

Een JSON Web Token, of JWT, is een compact tokenformaat dat vaak wordt gebruikt bij authenticatie, autorisatie, API-sessies en identiteitsworkflows. Een JWT heeft gewoonlijk drie door punten gescheiden onderdelen: een header, een payload en een signature. De header en payload zijn base64url-gecodeerde JSON, wat betekent dat ze zonder geheime sleutel kunnen worden gedecodeerd en gelezen.

Deze JWT-decoder richt zich op inspectie. Hij formatteert de header en payload, extraheert veelvoorkomende claims, toont ruwe segmenten en legt tijdgebonden claims zoals uit iat, nbf, en exp. Dat is nuttig bij het debuggen van aanmeldingsstromen, API-aanroepen, testomgevingen, OAuth-integraties of problemen met tokenlevensduur.

  • Lees het algoritme en het type van het token uit de header.
  • Controleer issuer, subject, audience en aangepaste payload-claims.
  • Zet NumericDate-claims om in leesbare datums.
  • Kopieer de gedecodeerde header, gedecodeerde payload of ruwe tokensegmenten.

Decoderen is geen verificatie

Het decoderen van een JWT vertelt wat het token bevat. Het bewijst niet wie het heeft gemaakt, of de payload is gewijzigd, of de signature overeenkomt, of of uw applicatie het moet accepteren. Voor signature-verificatie is de juiste secret, public key of JWKS-configuratie vereist en moet dit overeenkomen met het algoritme dat de applicatie verwacht.

Het signature-gedeelte verschilt van de header en payload. Het is een cryptografische waarde over de gecodeerde header en payload, niet een ander JSON-object om te decoderen. Deze pagina toont de signature in de uitvoer met ruwe segmenten wanneer deze bestaat, maar vraagt niet om signing keys en verifieert de waarde niet.

Behandel deze pagina als een inspecteur, niet als een autoriteit. Een gedecodeerd token kan nog steeds vervalst, verlopen, ongesigneerd, met een onverwachte sleutel ondertekend of door de uitgevende service worden afgewezen.

Veelvoorkomende JWT-claims

Claim Meaning Typisch gebruik
iss Issuer De service of identity provider die het token heeft uitgegeven.
sub Subject De gebruiker, account, client of entiteit waar het token over gaat.
aud Audience De API, app of service die het token zou moeten ontvangen.
iat Issued at Wanneer het token is gemaakt.
nbf Niet eerder dan Het token mag niet worden geaccepteerd vóór dit tijdstip.
exp Expires at Het token mag niet worden geaccepteerd na dit tijdstip.

Veilige debuggewoonten

  • Gebruik waar mogelijk testtokens in plaats van productionele gebruikerstokens.
  • Plak geen signing secrets, private keys of API-referenties in een decoder.
  • Controleer dat het algoritme is wat uw applicatie verwacht.
  • Compare iss and aud vergelijk de waarden met de service die u aan het debuggen bent.
  • Houd er rekening mee dat de browsertijd en servertijd kunnen verschillen bij het debuggen van verlopen tokens.

Gerelateerde lokale tools

  • Gebruik de Base64 Encoder Decoder wanneer u gewone base64-strings moet inspecteren. JWT's gebruiken base64url, dus deze JWT-decoder is nog steeds geschikter voor volledige tokens.
  • Gebruik de JSON Beautifier wanneer u gekopieerde payload-objecten buiten de tokencontext wilt formatteren.
  • Gebruik de Unix Timestamp Converter wanneer u een speciale tijdstempelcontrole nodig heeft voor NumericDate-waarden zoals iat, nbf, of exp.

Veelgestelde vragen

Verifieert deze JWT-decoder signatures?

Nee. Hij decodeert de header en payload zodat u ze kunt inspecteren, maar hij verifieert de signature niet en bewijst niet dat het token vertrouwd is. Verificatie vereist de issuer's secret, public key of JWKS-configuratie. De signature wordt niet als een gedecodeerd JSON-paneel getoond omdat het een cryptografische waarde is, geen leesbare claims-data; deze tool toont het alleen in de uitvoer met ruwe segmenten.

Kan iedereen een JWT decoderen?

Ja, de header en payload zijn gecodeerd, niet versleuteld, tenzij uw systeem een apart versleuteld tokenformaat gebruikt. Plaats geen geheimen in JWT-payloads.

Wat betekent een verlopen JWT?

Als de exp -claim in het verleden ligt, zou een server het token normaal gesproken moeten afwijzen. Deze pagina kan de tijdstempel tonen, maar de server is de uiteindelijke autoriteit.

Waarom accepteert de tool een Bearer-prefix?

Ontwikkelaars kopiëren vaak tokens uit een Authorization: Bearer ... header. Authorization: Bearer ... De tool verwijdert het prefix voordat het tokenlichaam wordt gedecodeerd.