JWT decoder

Inspecteer een token voordat u de verkeerde auth-bug achtervolgt. Decodeer headers, claims, algoritmen, handtekeningen en vervalstatus.

Gecodeerd token

HeaderPayloadHandtekening

Gedecodeerde uitvoer

Wachten op tokeninvoer...

Wat is JWT?

JSON Web Token is een compact formaat voor het overdragen van claims tussen systemen. Bij het dagelijkse debuggen zijn de nuttige vragen meestal eenvoudig: wie heeft het token uitgegeven, voor wie is het bedoeld, welke rechten claimt het, welk algoritme heeft het ondertekend en is het verlopen?

Header

Toont token-metagegevens zoals typ, alg en soms kid, die verwijzen naar de sleutel die door de uitgever wordt gebruikt.

Payload

Bevat claims zoals sub, iss, aud, exp, iat, rollen, tenant-ID's of applicatiespecifieke autorisatiegegevens.

Handtekening

Beschermt het token tegen manipulatie wanneer de server het verifieert met het verwachte geheim of de openbare sleutel.

Vervaldatum

De claim exp is vaak de snelste aanwijzing bij het opsporen van fouten bij auth. Een goed opgemaakt token is nog steeds nutteloos als het zich al buiten zijn geldigheidsperiode bevindt.

Veelgestelde vragen over JWT

Zijn JWTs gecodeerd?

Meestal niet. Standaard JWT's zijn base64url-gecodeerd, niet versleuteld, wat betekent dat iedereen die het token heeft de header en payload kan inspecteren. De handtekening beschermt alleen de integriteit.

Bevestigt het decoderen van een JWT dat deze vertrouwd is?

Nee. Decodering onthult alleen de tokeninhoud. Vertrouwen vereist handtekeningverificatie aan de hand van het verwachte geheim of de openbare sleutel, plus controles op uitgever, doelgroep, vervaldatum en toepassingsregels.

Wat gebeurt er als een token verloopt?

Als de exp-claim in het verleden ligt, moet de server het token afwijzen en moet de client zich opnieuw authenticeren of een nieuw toegangstoken aanvragen via het juiste vernieuwingsproces.

Moet ik productietokens in een decoder plakken?

Behandel live tokens als inloggegevens. Gebruik waar praktisch haalbaar testtokens met een korte levensduur, en plak geen gevoelige productietoegangstokens in tools die u niet beheert.