Décodeur JWT

Décodez l'en-tête et la charge utile d'un JWT instantanément, dans votre navigateur.

Publicité

Votre publicité ici

Nous contacter

Ce décodeur JWT gratuit vous permet d'inspecter instantanément le contenu d'un JSON Web Token. Collez un token et il le divise en ses trois parties — en-tête, charge utile et signature — décodant l'en-tête et la charge utile de base64url en JSON lisible, et convertissant automatiquement les claims de date courants comme exp, iat et nbf en horodatages lisibles.

Cet outil décode uniquement le token ; il ne vérifie pas la signature, car cela nécessiterait la clé secrète ou publique utilisée pour le signer, à laquelle cet outil n'a jamais accès. Le décodage se fait entièrement dans votre navigateur en JavaScript — le token que vous collez n'est jamais transmis nulle part, ce qui permet d'inspecter en toute sécurité des tokens contenant des claims sensibles pendant le développement ou le débogage.

Publicité

Votre publicité ici

Nous contacter

Questions fréquentes

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT) est un format compact et sûr pour les URL, représentant des claims à transférer entre deux parties, couramment utilisé pour l'authentification et l'autorisation dans les applications web et API.

Quelles sont les trois parties d'un JWT ?

Un JWT se compose d'un en-tête (décrivant le type de token et l'algorithme de signature), d'une charge utile (les claims ou données) et d'une signature, séparés par des points et chacun encodé en base64url.

Cet outil vérifie-t-il la signature du JWT ?

Non. Vérifier une signature nécessite la clé secrète ou publique utilisée pour signer le token, que cet outil n'a pas et ne demande jamais. Il décode uniquement l'en-tête et la charge utile pour que vous puissiez lire leur contenu.

Est-il sûr de coller un JWT dans cet outil ?

Oui, dans le sens où le token n'est jamais envoyé à un serveur — tout le décodage se fait localement dans votre navigateur en JavaScript. Néanmoins, traitez les tokens comme des données sensibles en général, car quiconque possède un token valide et non expiré peut potentiellement l'utiliser.

Qu'est-ce que le claim "exp" ?

« exp » (expiration time) est un claim JWT standard indiquant l'horodatage Unix après lequel le token n'est plus valide. Cet outil le convertit automatiquement en date lisible pour plus de commodité.

Qu'est-ce que le claim "iat" ?

« iat » (issued at) enregistre l'horodatage Unix de création du token, utile pour déterminer son ancienneté.

Peut-on faire confiance à un JWT décodé sans vérification ?

Non. N'importe qui peut décoder la charge utile d'un JWT car elle est seulement encodée en base64url, pas chiffrée. Faire confiance aux claims nécessite de vérifier cryptographiquement la signature avec la bonne clé côté serveur.

Pourquoi mon token affiche-t-il une erreur lors du décodage ?

Un JWT doit avoir exactement trois segments séparés par des points, chacun en base64url valide. Si un token est tronqué, contient des espaces superflus, ou n'est pas réellement un JWT, le décodage échouera.

Quel algorithme l'en-tête décrit-il ?

L'en-tête contient généralement un champ « alg » décrivant l'algorithme de signature (comme HS256 ou RS256) et un champ « typ », généralement égal à « JWT ».

Puis-je utiliser cela pour déboguer les tokens de ma propre application ?

Oui, c'est l'un des usages les plus courants — inspecter rapidement les claims à l'intérieur d'un token émis ou reçu par votre application, sans avoir à écrire de code de décodage personnalisé.