Décodeur JWT en ligne

Décodez et inspectez les JWT et les tokens Bearer directement dans votre navigateur. Consultez le header, le payload, les claims, l'heure d'expiration et la structure du token pour déboguer l'authentification, les flux OAuth et les intégrations API.

Entrée

0 caract. · 0 octets

Essayer :

Résultat

✓ Décodage du token sans vérification de signature ✓ Visualisation des en-têtes et de la charge utile ✓ Aucune clé requise pour lire le contenu ✓ Traitement local dans le navigateur

Exemples

Décoder un JWT simple

Entrée

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkplYW4gRHVwb250IiwiaWF0IjoxNTE2MjM5MDIyfQ.signature

Sortie

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "1234567890",
  "name": "Jean Dupont",
  "iat": 1516239022
}

Inspectez le header et le payload du JWT sans vérifier la signature.

Décoder un token Bearer

Entrée

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature

Sortie

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "iss": "api.example.com",
  "aud": "my-app",
  "scope": "read:users",
  "exp": 1924992000
}

Les préfixes Bearer sont courants dans les en-têtes Authorization et peuvent être retirés avant l'inspection du JWT.

Inspecter le claim d'expiration

Entrée

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature

Sortie

Header:
{
  "alg": "RS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "user_42",
  "exp": 1924992000,
  "iat": 1717200000,
  "role": "admin"
}

Les claims JWT comme exp et iat sont des Unix timestamps et sont utiles pour déboguer les tokens expirés ou pas encore valides.

Créer un payload JWT

Entrée {"sub":"user_42","role":"admin","exp":1924992000}

Sortie eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Encodez un payload JSON en segment de payload JWT Base64URL. C'est utile pour comprendre comment les claims JWT sont représentés avant la signature.

Fonctionnement du décodeur JWT

Un JSON Web Token (JWT) comporte généralement trois parties : Header, Payload et Signature. Ces parties sont séparées par des points et encodées en Base64URL.

Ce décodeur lit le token, décode le header et le payload, puis affiche les données JSON sous une forme lisible. Cela permet d'inspecter des claims comme issuer, subject, audience, l'heure d'émission, l'heure d'expiration, scopes, roles et les champs personnalisés de l'application.

Ce décodeur ne vérifie pas la signature. Le décodage montre ce que contient le token, mais ne prouve pas qu'il est valide, fiable ou intact.

JWT, Base64URL et sécurité

Les sections header et payload d'un JWT sont encodées, pas chiffrées. Toute personne qui possède le token peut décoder ces parties et lire leur contenu. Pour cette raison, il ne faut pas placer de secrets sensibles dans le payload d'un JWT, sauf si le token est chiffré par un mécanisme distinct.

La section signature sert à détecter les modifications. Un serveur peut vérifier la signature avec une clé secrète ou une paire de clés publique/privée, selon l'algorithme. Cet outil est destiné à l'inspection et au débogage, pas à la validation cryptographique.

Cas courants de débogage JWT

Le décodage de JWT est souvent utilisé pour déboguer l'authentification, OAuth, OpenID Connect, l'autorisation d'API, les access tokens, les refresh tokens et les tokens Bearer provenant des en-têtes Authorization.

Les développeurs inspectent souvent les JWT pour vérifier les timestamps d'expiration, l'issuer du token, l'audience, scopes, roles, permissions, identifiants utilisateur et valeurs de claims inattendues lors de problèmes de connexion ou d'intégration API.

JWT Decode vs JWT Verify

Décoder un JWT rend seulement le header et le payload lisibles. Cela ne vérifie pas si le token est valide, expiré, fiable ou correctement signé.

Vérifier un JWT nécessite de contrôler la signature, l'algorithme, issuer, audience, l'heure d'expiration et les autres règles de validation utilisées par votre application. Ce décodeur aide à inspecter le contenu du token, tandis que la validation complète doit être effectuée par votre système d'authentification.

FAQ

JWT (JSON Web Token) est un format de token compact et autonome utilisé pour l'authentification et l'échange sécurisé de données. Il est largement utilisé dans OAuth, OpenID Connect et comme token Bearer dans les en-têtes Authorization.

Non. Cet outil décode et inspecte uniquement la structure du token : header, payload et claims. La vérification de signature et la validation du token ne sont pas effectuées.

Oui. Le décodage convertit simplement des données Base64URL en JSON lisible.

Oui. Les tokens expirés peuvent toujours être décodés et inspectés ; c'est utile pour le débogage auth et l'analyse des problèmes d'access token.

Non. Tout le décodage se fait localement dans votre navigateur. Vos tokens ne quittent jamais votre appareil.

Les payloads JWT sont encodés en Base64URL, pas chiffrés. Ils sont conçus pour être lisibles ; la confidentialité est assurée par le transport (HTTPS), pas par l'encodage.

La signature permet au serveur de vérifier que le token n'a pas été modifié. Elle est calculée à partir du header et du payload avec une clé secrète ou une clé privée (RS256, HS256, etc.).

En général, non. Un JWT standard est encodé et signé, mais pas chiffré. Le header et le payload peuvent être décodés par toute personne qui possède le token.

Le claim exp stocke l'heure d'expiration du token sous forme de Unix timestamp. Après cet instant, le token ne devrait plus être accepté par le serveur.

Un token Bearer est un token envoyé dans un en-tête HTTP Authorization. Beaucoup de tokens Bearer sont des JWT, mais le terme décrit la manière dont le token est utilisé, pas nécessairement son format.

Non. Les payloads JWT sont généralement lisibles après décodage. Ne placez pas de mots de passe, clés API, tokens privés ou autres secrets dans le payload d'un JWT classique.

Outils associés

Décodeur JWT en ligne

Encodeur et décodeur Base64

Encodeur et décodeur Hex en ligne

Encoder et décoder une URL en ligne

Convertisseur binaire en ligne

Convertisseur ASCII

Convertisseur Unicode

Décodeur JWT en ligne

Qu'est-ce qu'un JWT ?

Cet outil vérifie-t-il les signatures JWT ?

Le décodage d'un JWT est-il sûr ?

Puis-je décoder des tokens expirés ?

Mes tokens sont-ils envoyés quelque part ?

Pourquoi n'importe qui peut-il décoder un JWT ?

Qu'est-ce que la section signature ?

Un JWT est-il chiffré ?

Que signifie le claim exp ?

Qu'est-ce qu'un token Bearer ?

Faut-il placer des mots de passe ou des secrets dans le payload d'un JWT ?

Encodeur et décodeur Base64

Encodeur et décodeur Hex en ligne

Encoder et décoder une URL en ligne

Convertisseur binaire en ligne

Convertisseur ASCII

Convertisseur Unicode