Décodeur JWT

Décodez et inspectez les tokens JWT instantanément. Affichez header, payload et expiration. 100% côté client, vos tokens restent confidentiels.

Collez un token JWT ci-dessus pour le décoder.

Référence

JSON Web Tokens (JWT)

Un JWT (JSON Web Token) est un format de token compact et sûr pour les URL défini dans RFC 7519. Il se compose de trois parties encodées en base64url séparées par des points : header.payload.signature. Les JWTs sont largement utilisés pour l'authentification et l'échange d'informations.

Structure

En-tête (Header) — un objet JSON contenant le type de token (typ) et l'algorithme de signature (alg), ex. HS256 ou RS256. Charge utile (Payload) — un objet JSON avec des claims : claims enregistrés comme iss (émetteur), sub (sujet), exp (expiration), iat (émis le) ; et des claims personnalisés. Signature — le résultat de la signature de l'en-tête et du payload encodés avec une clé secrète ou privée. Elle garantit que le token n'a pas été altéré.

⚠ Note de sécurité

Décoder n'est pas la même chose que vérifier. Cet outil décode le token et affiche son contenu, mais ne vérifie pas la signature. N'importe qui peut créer un JWT avec des claims arbitraires. Ne faites jamais confiance aux claims JWT sans vérifier la signature côté serveur avec la clé secrète ou publique appropriée. Utilisez une bibliothèque comme jsonwebtoken (Node.js) ou PyJWT (Python) en production.

Claims JWT enregistrés

RFC 7519 définit sept claims enregistrés : iss (issuer) — qui a créé le token. sub (subject) — l'utilisateur ou l'entité que le token représente. aud (audience) — le(s) destinataire(s) prévu(s). exp (expiration time) — timestamp Unix après lequel le token n'est plus valide. nbf (not before) — le token n'est pas valide avant ce moment. iat (issued at) — quand le token a été créé. jti (JWT ID) — un identifiant unique pour prévenir les attaques par rejeu.

Confidentialité

Tout le décodage s'exécute 100% dans votre navigateur. Aucune donnée n'est envoyée à un serveur.

← Retour à tous les outils