Décodeur JWT

Décoder et inspecter les JSON Web Tokens — en-tête, payload et expiration

Qu'est-ce que c'est et comment ça marche ?

Un décodeur JWT prend un JSON Web Token et montre son contenu : l'en-tête (algorithme et type de token), le payload (les claims — ID utilisateur, rôles, date d'expiration) et la signature. Les JWT sont le standard de facto de l'authentification sans état dans les API modernes et les applications monopages : le serveur signe un token une fois, et chaque requête suivante prouve l'identité en le transportant, sans stockage de session. Un JWT n'est que trois segments encodés en Base64Url séparés par des points — n'importe qui peut donc le décoder et le lire ; seule la signature exige la clé secrète.

Cet outil décode l'en-tête et le payload instantanément, met en évidence les claims enregistrés et convertit les dates numériques comme exp, iat et nbf en horodatages lisibles, pour voir d'un coup d'œil si un token est expiré. Le décodage se fait entièrement dans votre navigateur — le token n'est envoyé nulle part, ce qui compte car les tokens de production donnent un accès réel.

Cas d'usage

• Déboguer des erreurs 401 : décodez le token envoyé par votre app pour vérifier s'il est expiré (exp), pas encore valide (nbf) ou s'il manque un claim requis.
• Inspecter des tokens tiers : voyez exactement quelles données utilisateur et scopes un fournisseur OAuth/OpenID Connect place dans ses access et ID tokens.
• Vérifier une intégration : confirmez que votre backend émet des tokens avec la bonne audience (aud), le bon émetteur (iss) et les bons claims de rôle avant la mise en production.

Questions fréquentes

Est-il sûr de coller un JWT ici ?

Le décodage s'exécute entièrement dans votre navigateur — le token ne quitte jamais votre appareil. Traitez néanmoins les tokens de production comme des mots de passe : ils donnent accès jusqu'à expiration. Préférez tester avec des tokens expirés ou de staging.

Pourquoi peut-on lire le token sans la clé secrète ?

Les JWT sont signés, pas chiffrés. Base64Url est un encodage que n'importe qui peut inverser — la clé secrète ne sert qu'à créer ou vérifier la signature. Ne mettez jamais de données sensibles (mots de passe, numéros de carte) dans un payload JWT ; quiconque détient le token peut les lire.

Cet outil vérifie-t-il la signature ?

Non — il décode le contenu. La vérification de signature exige le secret (HMAC) ou la clé publique (RSA/ECDSA) et doit se faire côté serveur. Un token décodé d'apparence correcte peut être falsifié si votre backend ne vérifie pas.

Que sont exp, iat et nbf ?

Des claims temporels enregistrés, en timestamps Unix : iat est l'émission du token, exp son expiration et nbf (« not before ») le premier moment de validité. Le décodeur convertit les trois en dates lisibles et signale les tokens expirés.

Développeur

Générateur UUID · Convertisseur de timestamp · Encodeur Base64 · Décodeur Base64 · Générateur de hash · Convertisseur de couleurs