Décodeur et Vérificateur JWT
Décodez les JSON Web Tokens et vérifiez leurs signatures (HS256, RS256, ES256, EdDSA) entièrement dans votre navigateur avec la Web Crypto API.
En-tête
Collez un jeton ci-dessus pour le décoder.
Payload
Collez un jeton ci-dessus pour le décoder.
Résumé des claims
Collez un jeton ci-dessus pour le décoder.
Vérification de la signature
Collez un secret ou une clé publique pour vérifier.
Comment ça marche
Le décodeur JWT (JSON Web Token) décode et affiche l’en-tête, la charge utile et la signature d’un token JWT sans vérifier la signature côté serveur.
Comment l’utiliser :
- Collez votre token JWT (format xxxxx.yyyyy.zzzzz) dans le champ d’entrée.
- L’outil affiche l’en-tête et la charge utile décodés en JSON lisible.
- La signature est affichée mais non vérifiée (nécessite la clé secrète).
Exemple : Un token JWT de connexion → affiche l’ID utilisateur, le rôle, la date d’expiration.
Limites : La vérification de la signature n’est pas effectuée — ne faites pas confiance au contenu d’un JWT sans vérification côté serveur. Ne décodez pas de tokens contenant des données sensibles sur des appareils non sécurisés.
Confidentialité : Le décodage est entièrement local.
Cas d'utilisation
- Déboguer des bugs d'authentification dans une application web ou mobile en inspectant les claims d'un token
- Vérifier qu'un token expiré ou altéré est correctement rejeté par votre logique d'autorisation
- Contrôler que votre fournisseur d'identité signe les tokens avec la bonne clé et le bon algorithme
- Enseigner la structure JWT, les claims et les erreurs courantes (alg none, key confusion, exp manquant) avec un exemple réel
- Trier rapidement un incident de production où un token est rejeté par un service en aval
Questions fréquentes
- Le décodeur vérifie-t-il la signature ?
- Non, il affiche uniquement les données décodées. La vérification nécessite la clé secrète côté serveur.
- Est-il dangereux de décoder un JWT ?
- Non, les données ne sont qu'encodées en Base64, pas chiffrées. Tout le monde peut les lire.
- Que contient la charge utile ?
- Généralement l'ID utilisateur, les rôles, la date d'expiration et d'autres revendications.
- Qu'est-ce que exp dans la charge utile ?
- C'est la date d'expiration du token en timestamp Unix.
- Mon token est-il envoyé à un serveur ?
- Non, le décodage est entièrement local.