Décodeur et Vérificateur JWT
Décodez les JSON Web Tokens et vérifiez leurs signatures (HS256, RS256, ES256, EdDSA) entièrement dans votre navigateur avec la Web Crypto API.
Comment ça marche
Le décodeur JWT (JSON Web Token) décode et affiche l’en-tête, la charge utile et la signature d’un token JWT sans vérifier la signature côté serveur.
Comment l’utiliser :
- Collez votre token JWT (format xxxxx.yyyyy.zzzzz) dans le champ d’entrée.
- L’outil affiche l’en-tête et la charge utile décodés en JSON lisible.
- La signature est affichée mais non vérifiée (nécessite la clé secrète).
Exemple : Un token JWT de connexion → affiche l’ID utilisateur, le rôle, la date d’expiration.
Limites : La vérification de la signature n’est pas effectuée — ne faites pas confiance au contenu d’un JWT sans vérification côté serveur. Ne décodez pas de tokens contenant des données sensibles sur des appareils non sécurisés.
Confidentialité : Le décodage est entièrement local.
Exemple concret
Collez un JWT de votre flux d’authentification : l’outil le découpe aux points et décode chaque partie en base64url — l’en-tête (p. ex. {"alg":"HS256","typ":"JWT"}), la charge utile avec les claims comme sub, iat et exp, et la signature brute. Les horodatages s’affichent en dates lisibles et le statut d’expiration est calculé pour vous — un jeton expiré est signalé immédiatement, ce qui répond à la question de débogage la plus fréquente sans ouvrir un terminal. Le décodage est entièrement local : un jeton de production ne quitte jamais votre machine.
Cas d'utilisation
- Déboguer des bugs d'authentification dans une application web ou mobile en inspectant les claims d'un token
- Vérifier qu'un token expiré ou altéré est correctement rejeté par votre logique d'autorisation
- Contrôler que votre fournisseur d'identité signe les tokens avec la bonne clé et le bon algorithme
- Enseigner la structure JWT, les claims et les erreurs courantes (alg none, key confusion, exp manquant) avec un exemple réel
- Trier rapidement un incident de production où un token est rejeté par un service en aval
Questions fréquentes
- Le décodeur vérifie-t-il la signature ?
- Non, il affiche uniquement les données décodées. La vérification nécessite la clé secrète côté serveur.
- Est-il dangereux de décoder un JWT ?
- Non, les données ne sont qu'encodées en Base64, pas chiffrées. Tout le monde peut les lire.
- Que contient la charge utile ?
- Généralement l'ID utilisateur, les rôles, la date d'expiration et d'autres revendications.
- Qu'est-ce que exp dans la charge utile ?
- C'est la date d'expiration du token en timestamp Unix.
- Mon token est-il envoyé à un serveur ?
- Non, le décodage est entièrement local.