Ga naar inhoud
CrateX.app-logo

CrateX.app

JWT-decoder

Decodeer standaard driedelige JWT's lokaal, bekijk geformatteerde Header en Payload JSON, kopieer de ruwe Signature en controleer exp/nbf/iat zonder handtekeningverificatie.

Invoertekst

Tekens

0 / 16,000

Let op: deze tool decodeert en geeft alleen het token weer. Het verifieert de handtekening niet en gedecodeerde claims kunnen worden vervalst totdat een vertrouwde backend ze valideert.
JWT-decoder

Snelstart

1
Plak de volledige JWT met drie door punten gescheiden delen.
2
Lees Header- en Payload-JSON; Signature wordt ruw getoond, niet geverifieerd.
3
Controleer exp/nbf/iat met lokale tijd en UTC.
4
Kopieer het benodigde deel; wis gevoelige tokens na afloop.

Veelvoorkomende scenario's

API-foutopsporing

inspecteer snel tokeninhoud en vergelijk claims

Verloopcontrole

Inspecteer exp-veld om te zien of token geldig is

JWT leren

Begrijp JWT-header/Inhoud-structuur en Base64URL-codering

Omgevingsvergelijking

Vergelijk tokens tussen dev/test/prod

Gebruiksadvies

De gedecodeerde payload is leesbaar, niet vertrouwd. Productiesystemen moeten de handtekening verifiëren en iss-, aud-, sub-, scope- en intrekkingsregels op de backend valideren.
Vermijd het plakken van tokens met gevoelige data op openbare apparaten
Tijdvelden zijn Unix-timestamps (seconden); tool converteert auto naar lokale/UTC-tijd

Decodercontract

De invoer moet een compacte driedelige JWT zijn in de vorm header.payload.signature. Vijfdelige JWE-tokens en aangepaste tokenformaten vallen buiten deze decoder.
Header en Payload worden Base64URL-gedecodeerd als UTF-8 en vervolgens geparseerd als JSON. Als een van beide onderdelen niet geldig Base64URL of JSON is, blijft de broninvoer op zijn plaats en toont het resultaat de overeenkomende fout.
Het Signature-paneel toont alleen het ruwe derde segment. Hier wordt geen verificatie met secret, public key, JWK/JWKS of Web Crypto uitgevoerd.

Beveiligingsgrens

JWT-decodering draait lokaal in je browser. De tokeninvoer kan als browserconcept bewaard blijven. Als een opgeslagen werkruimte of WebDAV-synchronisatie is ingeschakeld, kan de tokeninvoer via die synchronisatie worden opgeslagen. Weergavegegevens voor Header, Payload en Signature, claim-tijdkaarten, parsefouten, kopieerstatus en undo-geschiedenis worden afgeleid van het huidige token en worden niet als afzonderlijke resultaatgegevens opgeslagen. Deze tool verifieert geen handtekeningen, haalt geen JWKS of URL’s op, uploadt geen tokens, maakt geen bijlagen en maakt geen downloads van gedecodeerde bestanden. Wis op een gedeeld apparaat het token en de sitegegevens wanneer je klaar bent.
Als het token gevoelige informatie bevat, gebruik dan een privéapparaat en wis de invoer na inspectie.
Decodering maakt claims alleen leesbaar. Het bewijst niet dat het token is uitgegeven door uw server, is geaccepteerd door een API of veilig is om te vertrouwen.
alg, kid, iss, aud, sub, scope, rollen en jti worden weergegeven als gewone JSON-velden. Valideer ze met uw backend, metagegevens van de uitgever, sleutels, doelgroepregels en intrekkingsbeleid.
De tijdstatus gebruikt exp en nbf met uw lokale klok. Scheeftrekken van de serverklok, respijtperioden, sessie-intrekking en vernieuwingstokenstatus kunnen het werkelijke resultaat veranderen.
Hier niet ondersteund: handtekeningverificatie, secret- of public-keyinvoer, JWK/JWKS-lookup, OIDC-discovery, OAuth-introspectie, JWE-decryptie, geneste JWT-parsing, tokengeneratie en server-side validatie.

Beperkingen & compatibiliteit

Alleen Base64URL-decodering — geen handtekeningverificatie
Alleen standaard 3-delige JWT ondersteund; JWE of aangepaste formaten niet ondersteund
Geneste JWTs (JWT in payload) worden niet verwerkt
De tijdstatus is geen volledige geldigheidscontrole. Een token kan niet verlopen zijn en toch door de server worden afgewezen.
Deze pagina biedt alleen kopieeracties. Het downloadt, exporteert, bewaart of deelt geen gedecodeerde tokenbestanden.

Privacy & veiligheid

JWT-decodering draait lokaal in je browser. De tokeninvoer kan als browserconcept bewaard blijven. Als een opgeslagen werkruimte of WebDAV-synchronisatie is ingeschakeld, kan de tokeninvoer via die synchronisatie worden opgeslagen. Weergavegegevens voor Header, Payload en Signature, claim-tijdkaarten, parsefouten, kopieerstatus en undo-geschiedenis worden afgeleid van het huidige token en worden niet als afzonderlijke resultaatgegevens opgeslagen. Deze tool verifieert geen handtekeningen, haalt geen JWKS of URL’s op, uploadt geen tokens, maakt geen bijlagen en maakt geen downloads van gedecodeerde bestanden. Wis op een gedeeld apparaat het token en de sitegegevens wanneer je klaar bent.
Als het token gevoelige informatie bevat, gebruik dan een privéapparaat en wis de invoer na inspectie.

Veelgestelde vragen

6

Ga verder met deze gerelateerde tools voor de volgende stap.

Over

Over ons
Prijzen

Juridisch

Servicevoorwaarden
Privacybeleid
Cookiebeleid

Voorkeuren

Cookies beheren

Alle verwerking van tools vindt lokaal plaats in je browser.