Decodeur JWT
Decodez et inspectez des JSON Web Tokens.
Base64url encoded
Signature verification requires the secret key or public key, which is not available client-side. This tool only decodes — it does not verify signatures.
Décodeur JWT
Analyse les JSON Web Tokens en leurs trois composants — en-tête (header), charge utile (payload) et signature — pour inspecter les revendications et métadonnées sans service backend. L'outil gère le décodage Base64url, formate le JSON et affiche des horodatages lisibles pour les revendications temporelles standard (iat, exp, nbf).
À quoi ça sert ?
- Débogage d'API : inspecter les jetons d'accès des flux OAuth 2.0 / OpenID Connect pour vérifier les revendications, portées et expiration
- Dépannage d'authentification : vérifier si un jeton est expiré, émis par le bon fournisseur (iss) ou destiné à la bonne audience (aud)
- Apprentissage de la structure JWT : comprendre la composition des JWT avec une décomposition visuelle de chaque partie
- CI/CD et DevOps : vérifier les jetons générés dans les pipelines avant le déploiement en production
Guide étape par étape
- Collez votre jeton JWT dans le champ de saisie (le préfixe Bearer est supprimé automatiquement)
- L'en-tête, la charge utile et la signature sont décodés instantanément
- Examinez les revendications analysées dans la section charge utile
- Vérifiez l'état d'expiration affiché avec un badge et un temps relatif
- Copiez les sections individuelles ou la sortie décodée complète
Comment ça marche
Un JWT est composé de trois segments encodés en Base64url séparés par des points. Cet outil divise le jeton, décode chaque segment avec l'alphabet Base64url standard et analyse le JSON résultant. Tout le traitement se fait entièrement dans votre navigateur — aucune donnée n'est envoyée à un serveur. L'outil supprime automatiquement les préfixes Bearer et affiche l'état d'expiration en temps réel. Note : cet outil décode les jetons mais ne vérifie pas les signatures. La vérification de signature nécessite la clé secrète ou publique, qui ne devrait jamais être saisie dans un outil web.
Conseils et bonnes pratiques
- Vous pouvez coller la valeur complète de l'en-tête Authorization — le préfixe Bearer est supprimé automatiquement
- Les revendications temporelles (iat, exp, nbf) sont affichées en horodatages UNIX et en dates lisibles
- Utilisez cet outil avec le convertisseur Date vers Horodatage pour créer des valeurs de test pour les revendications JWT
- Ne collez jamais de clés secrètes de production dans un outil web — collez uniquement le jeton lui-même
Questions fréquentes
Est-il sûr de coller mon JWT ici ?
Oui. Tout s'exécute à 100% côté client dans votre navigateur. Aucun jeton n'est envoyé à un serveur, stocké ou journalisé. Vous pouvez le vérifier en consultant l'onglet Réseau des outils de développement de votre navigateur.
Quelle est la différence entre décoder et vérifier un JWT ?
Le décodage lit simplement l'en-tête et la charge utile en les décodant en Base64url — n'importe qui peut le faire. La vérification contrôle la signature avec un secret (HMAC) ou une clé publique (RSA/EC) pour confirmer que le jeton n'a pas été altéré. Cet outil ne fait que décoder.
Quelles sont les revendications JWT standard ?
Les revendications enregistrées définies dans la RFC 7519 sont : iss (émetteur), sub (sujet), aud (audience), exp (expiration), nbf (pas avant), iat (émis à) et jti (identifiant JWT). Les applications peuvent ajouter toutes les revendications personnalisées nécessaires.
Puis-je décoder des jetons expirés ?
Oui. Les jetons expirés sont décodés normalement — l'outil affiche un badge Expiré et indique quand le jeton a expiré avec un indicateur de temps relatif.
Confidentialité & Sécurité
Cet outil utilise FFmpeg compilé en WebAssembly (WASM). Le binaire WASM (~25 Mo) est téléchargé depuis un CDN lors de la première utilisation et mis en cache par votre navigateur. Tout le traitement des fichiers se fait localement sur votre appareil - vos fichiers ne sont jamais envoyés à un serveur. Cela le rend sûr pour les fichiers multimédias sensibles, privés ou confidentiels. Les fichiers volumineux peuvent prendre plus de temps à traiter en fonction du processeur et de la mémoire disponible de votre appareil.