Décodeur JWT

Tendance 🔥

Décoder et inspecter les tokens JWT

Outils développeur

Comment utiliser Décodeur JWT

  1. 1Collez votre token JWT
  2. 2Voyez l'en-tête et la charge utile décodés instantanément
  3. 3Vérifiez l'expiration et les autres claims

À propos de Décodeur JWT

JWT Decoder décode instantanément les JSON Web Tokens (JWT) et affiche les parties en-tête, charge utile et signature dans un format clair et lisible. Les JWT sont le format de token d'authentification dominant utilisé par les API REST, les services OAuth 2.0 et les systèmes d'authentification unique (SSO).

Collez n'importe quelle chaîne JWT et l'outil affiche immédiatement l'algorithme dans l'en-tête, les claims dans la charge utile (y compris le temps d'expiration, l'émetteur, le sujet et les claims personnalisés), et la signature brute. Le temps d'expiration est affiché sous forme de date lisible.

Tout le décodage s'effectue entièrement dans votre navigateur en utilisant le décodage Base64URL — aucune donnée n'est envoyée à un serveur.

Fonctionnalités clés de Décodeur JWT

  • Décoder n'importe quel JWT et afficher l'en-tête, la charge utile et la signature
  • Affiche l'algorithme de signature de l'en-tête (HS256, RS256, etc.)
  • Affiche l'expiration (exp), l'émission (iat) et not-before (nbf) comme dates lisibles
  • Signale les tokens expirés avec un avertissement visuel clair
  • Sortie JSON formatée pour l'en-tête et la charge utile
  • Fonctionne entièrement dans le navigateur — votre token n'est jamais transmis
  • Prend en charge toutes les structures JWT standard y compris les JWT imbriqués
  • Copie en un clic de la charge utile décodée complète

Exemples

Inspecter les claims d'un token d'accès OAuth 2.0

Voir le sujet, les portées et l'expiration d'un token retourné par un serveur d'autorisation OAuth.

Entrée

eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIiwic2NvcGUiOiJyZWFkIiwiZXhwIjoxNzAwMDAwMDAwfQ.signature

Sortie

En-tête: {"alg":"RS256"} | Charge utile: {"sub":"user123","scope":"read","exp":"2023-11-14T22:13:20Z"}

Vérifier si un token de session a expiré

Déterminer si un JWT d'une session utilisateur est encore valide en inspectant son claim exp.

Entrée

Un JWT avec un claim exp défini à une date passée

Sortie

Token expiré le 2025-01-01 00:00:00 UTC — en surbrillance rouge

Cas d'utilisation courants

  • Inspection des tokens d'accès OAuth 2.0 pour vérifier les portées et l'expiration
  • Débogage des échecs d'authentification en vérifiant les claims JWT
  • Vérification de la structure et de l'algorithme du token lors de l'intégration d'un nouveau fournisseur d'identité
  • Vérification du sujet (sub) et de l'émetteur (iss) des tokens entrants dans les journaux API
  • Enseignement de la structure JWT dans les formations à la sécurité
  • Vérification rapide de l'expiration d'un token

Dépannage

Token invalide — le token n'est pas un JWT

Solution

Un JWT doit avoir exactement trois sections séparées par des points (en-tête.charge utile.signature). Assurez-vous de coller la chaîne de token complète.

La charge utile affiche des caractères illisibles

Solution

Les sections JWT sont encodées en Base64URL. Le décodeur gère cela automatiquement. Si la sortie est illisible, assurez-vous que le token est complet.

Impossible de déterminer si le token est valide (authentique)

Solution

Le décodage affiche les claims mais ne vérifie pas la signature. La vérification de signature nécessite la clé de signature. Utilisez la bibliothèque JWT de votre application pour vérifier côté serveur.

Questions fréquemment posées

Mon token JWT est-il sûr avec cet outil ?

Oui. Tout le décodage se fait localement dans votre navigateur en utilisant JavaScript. Votre JWT n'est jamais envoyé à un serveur.

Peut-il vérifier les signatures JWT ?

Non. La vérification de signature nécessite la clé secrète ou la clé publique. Cet outil décode et affiche uniquement l'en-tête et la charge utile.

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT) est un format de token compact et sécurisé pour les URL qui encode un ensemble de claims sous forme d'objet JSON. Il se compose de trois parties encodées en Base64URL : un en-tête (algorithme), une charge utile (claims) et une signature.

Quels claims dois-je rechercher dans un JWT ?

Les claims standard clés incluent : sub (sujet/ID utilisateur), iss (émetteur), aud (audience), exp (temps d'expiration), iat (émis à) et nbf (pas avant).

Comment puis-je savoir si un JWT a expiré ?

Le claim exp contient un timestamp Unix représentant la date d'expiration du token. Cet outil le convertit en date lisible et signale les tokens expirés.

Quelle est la différence entre HS256 et RS256 ?

HS256 utilise une clé secrète partagée. RS256 utilise une clé privée pour la signature et une clé publique pour la vérification — adapté aux systèmes distribués.

Puis-je décoder un JWT sans bibliothèque ?

Oui. Un JWT est juste trois chaînes JSON encodées en Base64URL séparées par des points. Cet outil automatise exactement ce processus.

Dois-je coller des tokens de production dans des outils en ligne ?

Cet outil traite les tokens localement dans votre navigateur, ils ne sont donc transmis nulle part. Pour les tokens de production sensibles dans des environnements haute sécurité, envisagez une version exécutée localement.