Décodeur et Vérificateur JWT
Décodez les JSON Web Tokens et vérifiez leurs signatures (HS256, RS256, ES256, EdDSA) entièrement dans votre navigateur avec la Web Crypto API.
Comment ça marche
Collez un JSON Web Token dans l'entrée — l'outil le sépare instantanément en ses trois parties encodées en Base64URL (en-tête, payload, signature), décode les deux premières en JSON et les formate. Les revendications standard comme iat, nbf, exp, iss, sub et aud sont affichées comme des dates ou étiquettes lisibles afin de repérer d'un coup d'œil les tokens expirés ou pas encore valides. Pour vérifier la signature, collez le secret de signature (pour HS256/HS384/HS512) ou la clé publique au format PEM ou JWK (pour RS256, ES256, ES384, ES512 ou EdDSA). L'outil utilise la Web Crypto API du navigateur pour recalculer la signature sur header.payload et la comparer au segment de signature en temps constant — un badge vert signifie que le token est authentique, un badge rouge que la signature est invalide ou la mauvaise clé utilisée. Tout se déroule localement : le token, le secret et la clé ne quittent jamais votre navigateur, c'est pourquoi la plupart des outils JWT en ligne refusent de vérifier les signatures.
Cas d'utilisation
- Déboguer des bugs d'authentification dans une application web ou mobile en inspectant les claims d'un token
- Vérifier qu'un token expiré ou altéré est correctement rejeté par votre logique d'autorisation
- Contrôler que votre fournisseur d'identité signe les tokens avec la bonne clé et le bon algorithme
- Enseigner la structure JWT, les claims et les erreurs courantes (alg none, key confusion, exp manquant) avec un exemple réel
- Trier rapidement un incident de production où un token est rejeté par un service en aval