Décodeur JWT
Décodez et inspectez des JSON Web Tokens localement.
En-tête
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "1234567890",
"name": "Arnaud",
"iat": 1516239022
}Claims standard
- Sujet
- 1234567890
- Émis le
- 2018-01-18 01:30:22 UTC
Collez un JWT pour afficher en-tête et payload. Les dates d'émission et d'expiration sont rendues lisibles. Nous ne vérifions pas les signatures - conservez votre secret sur votre serveur.
Comment l'utiliser
Collez le JWT
Token complet en trois parties (header.payload.signature). Un exemple est préchargé pour explorer la structure.
Lisez header et payload
Le JSON décodé apparaît côte à côte. Les claims standard (iss, sub, exp, iat) sont formatés en dates et libellés lisibles.
Vérifiez l'expiration
Regardez si `exp` est passé - c'est de loin la cause la plus fréquente du rejet.
Qu'est-ce que c'est ?
Un JSON Web Token (JWT) est trois chaînes Base64 URL-safe séparées par des points : un en-tête (algorithme, type), un payload (les claims - qui, quand, droits), et une signature. Un décodeur JWT scinde et Base64-décode les deux premiers segments. Il NE vérifie PAS la signature - cela exige le secret.
Quand l'utiliser
Inspecter un JWT en debug d'un flux d'authentification : pour qui, expiration, scopes, émetteur. Utile aux support engineers, reviewers sécurité et devs sur OAuth/OpenID. Toujours vérifier `exp` face à l'heure courante quand une requête est rejetée.
Erreurs courantes
Ne collez pas de tokens production sur des sites non fiables - le payload peut contenir identifiants, emails ou scopes. Ne confondez pas JWT et chiffrement : le payload est juste du Base64, lisible par tous. Et la signature exige la clé de l'émetteur - ne faites jamais confiance à un JWT sans vérifier la signature côté serveur.
FAQ
- Pourquoi ne vérifiez-vous pas les signatures ?
- Vérifier une signature requiert le secret ou la clé publique. Coller un secret sur un site web est exactement le mauvais modèle de menace - gardez-le sur votre serveur.
- Les tokens sont-ils stockés ?
- Non. Le décodage tourne dans votre navigateur ; nous n'envoyons jamais le token sur le réseau.
Notez cet outil
Partagez votre expérience pour aider les autres.
Outils similaires
Plus dans cette catégorie
- Formateur et validateur JSON
- Encodeur / Décodeur Base64
- Encodeur / Décodeur d'URL
- Générateur de hachage (SHA-1, SHA-256, SHA-384, SHA-512)
- Testeur de regex
- Convertisseur Markdown vers HTML
- Convertisseur YAML vers JSON
- Convertisseur CSV vers JSON
- Formateur SQL
- Encodeur / Décodeur d'entités HTML
- Lecteur d'expression cron
- Formateur XML
- Minificateur HTML
- Générateur de données fictives
- Générateur de tableau Markdown