Se connecter

Décodeur JWT

Décodez l'en-tête et la charge utile d'un JSON Web Token (sans vérification de signature)

La signature est affichée brute — cet outil ne la vérifie pas. Pour vérifier l'authenticité, utilisez un serveur avec la clé secrète/publique.

Qu'est-ce qu'un JWT ?

Un JSON Web Token est composé de trois parties encodées en Base64URL séparées par des points : un en-tête (l'algorithme utilisé), une charge utile (les revendications — typiquement l'ID utilisateur, l'expiration, les portées), et une signature. L'en-tête et la charge utile ne sont PAS chiffrés, juste encodés — quiconque possède le token peut les lire. La signature prouve que le token n'a pas été altéré.

Le décodeur divise les trois parties, décode les deux premières en Base64URL, et affiche joliment le JSON. Il ne vérifie PAS la signature — cela nécessite la clé secrète ou publique du serveur émetteur. Ne collez pas de tokens de production dans des décodeurs non fiables ; celui-ci est uniquement dans le navigateur et ne télécharge jamais, mais par habitude, utilisez des tokens de votre propre environnement de développement pour les tests.

Cas d'utilisation

  • Auditer un JWT tiers — collez un en-tête d'autorisation pour lire l'en-tête et la charge utile sans faire confiance à un débogueur distant.
  • Déboguer des échecs d'authentification — vérifiez que les revendications exp / iat / aud correspondent à ce que votre backend attend lorsqu'un 401 se produit en développement.
  • Inspecter les tokens OAuth / OIDC — décodez un token d'accès ou d'identité renvoyé par Google, Auth0 ou Okta pour voir les revendications utilisateur.
  • Enseigner la structure des JWT — montrer aux étudiants les trois segments en Base64 et comment la signature protège mais ne chiffre pas la charge utile.

Exemples

Decoding a sample token
Input
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyXzEiLCJleHAiOjE3MDAwMDAwMDB9.signature
Output
Header:
{"alg": "HS256"}

Payload:
{"sub": "user_1", "exp": 1700000000}

Questions fréquemment posées

Le décodeur vérifie-t-il la signature ?

Non — la vérification nécessite la clé secrète (HS256) ou la clé publique (RS256) utilisée pour signer le token. Le décodeur vous montre seulement ce qui est à l'intérieur ; la confiance vient de la vérification côté serveur.

Les contenus des JWT sont-ils chiffrés ?

Non, juste encodés en Base64. Quiconque possède le token peut lire les revendications. Utilisez JWE (JWT chiffrés) si les revendications doivent rester confidentielles.

Que signifie la revendication `exp` ?

Timestamp Unix auquel le token expire. Les tokens dépassant leur `exp` devraient être rejetés par le serveur. Le décodeur signale les tokens expirés pour vous.

Puis-je décoder un token malformé ?

Si une partie échoue à se déchiffrer en Base64 ou à être analysée en JSON, le décodeur affiche une erreur pointant vers la partie fautive.

Mon token est-il téléchargé ?

Non. Le décodage est pur JavaScript — votre token reste sur votre appareil.