Er vindt geen verwerking van je bestandsinhoud op een server plaats. Je hebt geen verwerkersovereenkomst met gottrix nodig om vertrouwelijke of zakelijke documenten te bewerken.
Servers in DuitslandAVG by design
Origin-servers bij Hetzner in Duitsland. Omdat je bestanden je apparaat nooit verlaten, wordt de inhoud ervan helemaal niet verzonden.
Een JSON Web Token (JWT, RFC 7519) is een compact token dat bestaat uit drie met punten gescheiden delen: header, payload en handtekening. De header en payload zijn slechts Base64URL-gecodeerde JSON (RFC 7515), geen geheim maar enkel een transportveilige schrijfwijze. Deze tool splitst de delen, decodeert header en payload terug en toont de JSON netjes ingesprongen. In een oogopslag zie je welk algoritme is opgegeven en welke gegevens (claims) het token meedraagt.
Belangrijk en eerlijk: deze tool decodeert alleen, hij controleert de handtekening niet. Een echte controle vereist het geheim of de publieke sleutel van de uitgever, waar deze tool bewust nooit om vraagt. Een gedecodeerd token is dus nog geen vertrouwd token: de inhoud kan zijn gemanipuleerd. Gebruik de weergave om te begrijpen en te debuggen (welke claims, wanneer verloopt exp, welke iss), nooit als bewijs van echtheid.
De hele verwerking gebeurt volledig lokaal in je browser in pure JavaScript: het token wordt niet geuploaded, niet opgeslagen en er wordt geen externe bibliotheek vanaf een CDN nageladen. Dat is juist bij tokens cruciaal, want een access- of ID-token hoort niet thuis in een online formulier van iemand anders. Is de invoer geen geldig JWT, dan meldt de tool dat eerlijk in plaats van een verkeerd resultaat te verzinnen.
Technische gegevens
Technische gegevens
Invoerformaten
Tekstinvoer
Uitvoerformaat
JSON
Batchverwerking
Nee
Verwerking
Lokaal in de browser (JavaScript)
Bestandsupload
Geen
In 3 stappen
Plak de JWT in het tekstveld.
Klik op decoderen.
Lees of download header en payload als JSON.
Beperkingen:Puur decoderen zonder handtekeningcontrole: de tool bevestigt NIET dat een token echt of ongewijzigd is, daarvoor is de sleutel van de uitgever nodig. Het controleert ook niet of het token is verlopen; het toont alleen de claims. Versleutelde tokens (JWE) worden niet ontsleuteld. Header en payload zijn alleen Base64URL, geen versleuteling, dus zet nooit geheimen in de payload.
Veelgestelde vragen
Wordt mijn token geuploaded?
Nee. Het decoderen gebeurt volledig lokaal in je browser; het token verlaat je apparaat nooit en wordt niet opgeslagen.
Controleert de tool de handtekening?
Nee. Hij decodeert alleen header en payload. Een handtekeningcontrole vereist de sleutel van de uitgever, waar deze tool bewust nooit om vraagt. Een gedecodeerd token is geen vertrouwd token.
Is een JWT versleuteld?
Meestal niet. Header en payload zijn alleen Base64URL-gecodeerd, wat iedereen kan teruglezen. Zet daarom geen geheimen in de payload.
Wat betekenen claims zoals exp, iat of iss?
Standaardclaims: iss is de uitgever, iat het tijdstip van uitgifte, exp de vervaltijd (als Unix-tijd), sub het subject. De tool toont ze ongewijzigd; hij evalueert ze niet.
Wat gebeurt er bij ongeldige invoer?
Is de invoer geen geldig JWT (verkeerd aantal delen of kapotte Base64URL), dan meldt de tool een eerlijke fout in plaats van een verkeerd resultaat te tonen.
Alleen met je toestemming meten we het gebruik geanonimiseerd via cookies om gottrix te verbeteren. Je bestanden blijven altijd lokaal, op jouw apparaat. Privacy