T

Text Machine

Des outils de texte puissants, dans votre navigateur

Décodeur de JWT

Décodez n'importe quel JSON Web Token pour inspecter son en-tête, son payload et ses claims sous une forme lisible — et, si vous le souhaitez, vérifiez une signature HMAC (HS256/384/512). Tout reste dans votre navigateur.

Token encodé

Comment utiliser Décodeur de JWT

  1. 1

    Collez votre token

    Collez un JSON Web Token encodé dans le champ de saisie. Le décodeur le divise automatiquement en en-tête, payload et signature.

  2. 2

    Lisez les claims

    Inspectez l'en-tête et le payload décodés sous forme de JSON formaté, et examinez les claims enregistrés tels que l'expiration et la date d'émission, affichés sous forme de dates lisibles.

  3. 3

    Vérifiez la signature

    Pour les tokens HMAC, saisissez le secret de signature afin de confirmer que la signature est valide et que le token n'a pas été altéré.

  4. 4

    Copiez ce dont vous avez besoin

    Copiez le JSON formaté de l'en-tête ou du payload dans votre presse-papiers pour l'utiliser dans vos tests, votre documentation ou votre débogage.

Questions fréquentes

Qu'est-ce qu'un JSON Web Token (JWT) ?
Un JSON Web Token est un moyen compact et compatible avec les URL de représenter des claims entre deux parties. Il se compose de trois parties encodées en Base64URL — un en-tête, un payload et une signature — séparées par des points, et il est largement utilisé pour l'authentification et l'autorisation dans les API web.
Décoder un JWT révèle-t-il le mot de passe ou le secret ?
Non. L'en-tête et le payload sont seulement encodés en Base64URL, et non chiffrés : n'importe qui peut donc les lire, c'est pourquoi vous ne devez jamais stocker de secrets sensibles dans un token. Le secret de signature, quant à lui, ne fait jamais partie du token et ne peut pas être récupéré en le décodant.
Comment fonctionne la vérification de la signature ici ?
Pour les algorithmes HMAC (HS256, HS384, HS512), l'outil recalcule la signature à partir de l'en-tête, du payload et du secret que vous fournissez à l'aide de l'API Web Crypto intégrée à votre navigateur, puis la compare à la signature du token. Les algorithmes asymétriques tels que RS256 et ES256 nécessitent des clés publiques : ils sont décodés mais non vérifiés.
Que signifient les claims exp et iat ?
exp (date d'expiration) et iat (date d'émission) sont des claims enregistrés, stockés sous forme de timestamps Unix en secondes. Ce décodeur les convertit en dates lisibles et indique si le token est actif, pas encore valide ou expiré, en fonction de l'horloge de votre appareil.
Mon token est-il envoyé à un serveur ?
Non. Le décodage et la vérification de la signature s'exécutent intégralement dans votre navigateur. Votre token et votre secret ne sont jamais envoyés, enregistrés ni stockés : même les tokens de production restent totalement privés.

Outils similaires

Continuez avec ces outils pratiques

URL Encoder / Decoder

Encoder / Décoder Base64

Convertisseur HTML vers Texte

Formateur JSON

Testeur de Regex

Générateur de Dégradés CSS