Décodeur JWT
Inspectez l’en-tête et les claims d’un token JWT.
- Instantané
- Gratuit
- Privé (traité localement)
- Sans inscription
Voyez ce que transporte vraiment votre token
Un JWT ressemble à du bruit — c’est en réalité du JSON encodé en base64url, lisible par quiconque. Collez un token : l’outil sépare et décode l’en-tête et le payload, met en forme le JSON, traduit les timestamps en dates et vous dit si le token est expiré.
Anatomie d’un JWT
| Partie | Contenu | Exemple |
|---|---|---|
| Header | Algorithme et type | {"alg":"HS256","typ":"JWT"} |
| Payload | Les claims (données métier) | {"sub":"1234567890","exp":1716239022} |
| Signature | HMAC ou signature asymétrique | SflKxwRJ… (binaire encodé) |
Les claims enregistrés à connaître
- iss (issuer) : qui a émis le token — votre serveur d’authentification.
- sub (subject) : à qui il se rapporte — l’identifiant de l’utilisateur.
- aud (audience) : à qui il est destiné — l’API qui doit l’accepter.
- exp / nbf / iat : la fenêtre de validité temporelle, en timestamps Unix.
Rappel sécurité : décoder n’est pas vérifier. Un token au contenu plausible peut être forgé ; seule la vérification de signature côté serveur (avec la bonne clé et le bon algorithme) fait foi. Ne stockez pas de secrets dans le payload : il est public.
Questions fréquentes
Qu’est-ce qu’un JWT ?
Un JSON Web Token (RFC 7519) est un jeton compact composé de trois parties encodées en base64url et séparées par des points : un en-tête (algorithme), un payload (les claims : identité, expiration…) et une signature qui en garantit l’intégrité.
Décoder un JWT, est-ce le « casser » ?
Non. L’en-tête et le payload ne sont pas chiffrés, juste encodés en base64url : n’importe qui peut les lire. La sécurité du JWT repose sur la signature, qui empêche la modification, pas la lecture.
Cet outil vérifie-t-il la signature ?
Non, volontairement : il décode et affiche le contenu, c’est tout. La vérification de signature exige la clé secrète ou publique et doit se faire côté serveur. Ne considérez jamais un token comme fiable sur la seule base de son contenu décodé.
Que signifient exp, iat et nbf ?
Ce sont des timestamps Unix : exp = date d’expiration, iat = date d’émission, nbf = date avant laquelle le token est invalide. L’outil les convertit en dates lisibles et indique si le token est expiré.
Est-il prudent de coller un vrai token ici ?
Le décodage est 100 % local, rien n’est transmis. Par hygiène, évitez tout de même de manipuler des tokens de production encore valides en dehors de vos environnements sécurisés, et révoquez tout token exposé par accident.