|||||
SyncBuilder
Terug naar de blog
Auth16 juli 2026·1 min lezen

Wat is een JWT? Een heldere gids voor JSON Web Tokens

Door SyncBuilder

Een JWT (JSON Web Token) is een compacte, URL-veilige token die breed wordt gebruikt voor authenticatie en voor het doorgeven van claims tussen services. Als je ooit hebt ingelogd bij een app en ingelogd bent gebleven, was er waarschijnlijk een JWT in het spel achter de schermen.

De drie delen van een JWT

Een JWT bestaat uit drie base64url-gecodeerde delen, gescheiden door punten: de header, de payload en de signature. De header benoemt het algoritme waarmee de token is ondertekend, de payload bevat de claims en de signature laat de ontvanger controleren dat er niet met de token is geknoeid.

Gangbare claims die je tegenkomt

  • sub - het subject, meestal de gebruiker die de token vertegenwoordigt
  • exp - de vervaltijd, waarna de token niet meer geldig is
  • iat - issued at, het tijdstip waarop de token is aangemaakt
  • nbf - not before, het tijdstip waarop de token geldig wordt
  • iss - de issuer die de token heeft aangemaakt en ondertekend

Belangrijk: base64url is codering, geen encryptie. Iedereen kan een JWT payload lezen, dus zet er nooit geheimen in. Een token decoderen is ook niet hetzelfde als verifieren. De signature moet op de server worden gecontroleerd met de secret of de public key.

Wil je nu meteen in een token kijken? Onze gratis JWT Decoder leest de header, payload en vervaltijd volledig in je browser, zodat de token je machine nooit verlaat. Let op: hij decodeert en verifieert niet, dus hij controleert de signature niet.

Probeer de gratis tool

Open tool