Décodeur JWT
Décoder et analyser les tokens JWT
Décodeur JWT : Inspectez les JSON Web Tokens en Toute Sécurité
JWT (JSON Web Token) est le standard pour l'authentification stateless dans les API modernes. Il se compose de trois parties : header, payload et signature — toutes encodées en Base64URL et séparées par des points.
Notre décodeur décompose chaque partie du token et vous montre le JSON lisible, y compris les claims standards (iss, sub, aud, exp, iat) et tout claim personnalisé. Tout s'exécute dans votre navigateur — le token ne quitte jamais votre appareil.
IMPORTANT : cet outil décode mais ne vérifie pas la signature. Pour vérifier l'authenticité, vous avez besoin du secret partagé (HS256) ou de la clé publique (RS256/ES256). Ne partagez jamais de JWT de production dans des outils en ligne.
Comment ça marche?
- 1Collez le JWT
Copiez le token complet (trois parties Base64URL séparées par des points) dans le champ d'entrée.
- 2Examinez le contenu décodé
Voyez le header (algorithme) et payload (claims) en JSON formaté.
- 3Vérifiez les claims
Vérifiez expiration (exp), émetteur (iss), sujet (sub) et tout claim personnalisé nécessaire.
Questions Fréquentes
Non. Même si notre outil fonctionne localement, la meilleure pratique est de ne jamais exposer de JWT d'environnements réels. Utilisez des tokens de staging/développement ou générez des JWT de test.
Le claim 'exp' contient un timestamp Unix (secondes depuis 1970). Notre décodeur montre automatiquement s'il est expiré en le comparant avec l'heure actuelle.
Pas encore dans cet outil. Pour vérifier HS256 vous avez besoin du secret partagé ; pour RS256/ES256 vous avez besoin de la clé publique. Utilisez des bibliothèques comme jsonwebtoken (Node.js) ou PyJWT (Python) dans votre backend.