Een JSON Web Token bestaat uit drie base64url-gecodeerde segmenten gescheiden door punten: header.payload.signature. De header declareert het handtekeningalgoritme (alg) en het tokentype; de payload draagt de claims — over wie het token gaat (sub), wie het uitgaf (iss) en wanneer het vervalt (exp).
Base64url is een codering, geen versleuteling: iedereen met een JWT kan de inhoud lezen — precies wat deze tool doet. Zet nooit geheimen in een JWT-payload. Wat een JWT betrouwbaar maakt is de handtekening, die alleen de houder van de sleutel kan produceren.
Deze decoder verifieert bewust geen handtekeningen — daarvoor is het secret of de publieke sleutel nodig en dat hoort in uw backend. Gebruik hem om te achterhalen waarom een token wordt geweigerd: verkeerde audience, verlopen exp, klokafwijking bij nbf of een onverwacht algoritme.