Skip to main content
CheckTown
Dev Tools

JWT Decoder: Inspecteer en Debug JSON Web Tokens Online

Gepubliceerd 5 min lezen
In dit artikel

Wat is een JWT?

Een JSON Web Token (JWT) is een compact, URL-veilig token dat wordt gebruikt om claims tussen twee partijen te vertegenwoordigen. JWT's vormen de ruggengraat van moderne authenticatie- en autorisatiesystemen — ze worden door servers afgegeven na het inloggen en meegestuurd met vervolgverzoeken aan de API om de identiteit te bewijzen.

Een JWT bestaat uit drie Base64URL-gecodeerde delen, gescheiden door punten: de header (algoritme en tokentype), de payload (claims/gegevens) en de handtekening (integriteitsverificatie). De handtekening wordt aangemaakt met een geheime sleutel of privésleutel, waardoor tokens aantoonbaar fraudebestendig zijn.

Hoe JWT-decodering werkt

Een JWT decoderen onthult de inhoud ervan zonder de handtekening te verifiëren — nuttig voor debuggen, maar niet voor beveiligingsbeslissingen.

  • Header-decodering — onthult het gebruikte handtekeningalgoritme (HS256, RS256, enz.) en het tokentype
  • Payload-decodering — toont alle claims, inclusief gebruikers-ID, rollen, vervaltijd en aangepaste gegevens
  • Vervaldatumcontrole — berekent of het token verlopen is op basis van de exp-claim

Probeer gratis — geen aanmelding vereist

Decodeer een JWT Token →

Wanneer JWT-decodering te gebruiken

JWT-decodering is onmisbaar bij API-ontwikkeling en debugworkflows.

  • API-debuggen — inspecteer de tokeninhoud wanneer verzoeken mislukken met 401- of 403-fouten
  • Integratietesten — verifieer dat uw authenticatieserver de juiste claims in uitgegeven tokens plaatst
  • Diagnose van tokenvervaling — controleer snel of authenticatiefouten worden veroorzaakt door verlopen tokens

Veelgestelde vragen

Kan ik de gedecodeerde JWT-inhoud vertrouwen?

Decoderen onthult de payload, maar verifieert de handtekening niet. Neem nooit beveiligingsbeslissingen op basis van gedecodeerde tokeninhoud, tenzij u de handtekening heeft geverifieerd met de juiste geheime of publieke sleutel. De decoder van CheckTown is uitsluitend bedoeld voor inspectie.

Wat mag ik nooit in een JWT-payload opslaan?

Sla nooit gevoelige informatie op zoals wachtwoorden, creditcardnummers of privésleutels in JWT-payloads. JWT's zijn gecodeerd, niet versleuteld — iedereen die het token onderschept, kan de payload decoderen zonder de handtekeningsleutel.

Wat is het verschil tussen HS256 en RS256?

HS256 (HMAC-SHA256) gebruikt één gedeeld geheim voor zowel ondertekening als verificatie. RS256 (RSA-SHA256) gebruikt een privésleutel voor ondertekening en een publieke sleutel voor verificatie. RS256 heeft de voorkeur in gedistribueerde systemen waarbij meerdere services tokens moeten verifiëren zonder toegang tot het ondertekeningsgeheim.

Gerelateerde Tools

Hash Generator: MD5, SHA-256 en meer — Wanneer elk te gebruikenHashing is fundamenteel voor beveiliging en data-integriteit. Leer welk algoritme te kiezen.Artikel lezen → Base64 Codering & Decodering: De Complete Gids voor OntwikkelaarsBase64 is overal in webontwikkeling. Leer hoe het werkt, wanneer te gebruiken en veelvoorkomende valkuilen.Artikel lezen → Wachtwoordsterkte Checker: Bouw Veilige GebruikersauthenticatieZwakke wachtwoorden zijn een belangrijke oorzaak van datalekken. Leer hoe u wachtwoordsterkte meet.Artikel lezen →
Terug naar Blog