Décodeur JWT
En-tête, charge utile et expiration décodés hors ligne : le jeton ne quitte jamais votre navigateur.
Signature (base64url — verify server-side)
Collez un jeton, voyez tout : en-tête et charge utile décodés, chaque réclamation de temps convertie dans votre fuseau horaire local avec l'âge relatif, un badge EXPIRED à ne pas manquer et un avertissement de sécurité si le jeton utilise l'algorithme dangereux aucun. Le décodage s'effectue entièrement sur votre appareil : ouvrez DevTools et observez : aucune requête réseau. Tester l'API à laquelle appartient le jeton ? Notre cURL to Code Converter est à côté.
Foire aux questions
Est-il sécuritaire de coller un vrai JWT ici ?
Le jeton est entièrement décodé dans votre navigateur : aucune requête réseau n'est effectuée, rien n'est enregistré ou stocké et la page fonctionne hors ligne une fois chargée. Cela dit, traitez les jetons de production comme des mots de passe comme une habitude : préférez les jetons expirés ou en cours de préparation lors du débogage dans n'importe quel outil en ligne.
Qu'y a-t-il exactement à l'intérieur d'un JWT ?
Trois parties base64url séparées par des points : un en-tête (algorithme + type), une charge utile (vos revendications — identifiant utilisateur, rôles, expiration) et une signature. Les deux premiers sont simplement codés, PAS chiffrés – toute personne possédant le jeton peut les lire, ce qui est exactement ce que montre ce décodeur.
Est-ce que cela vérifie la signature ?
Non : la vérification nécessite la clé secrète ou publique, qui ne doit jamais être collée dans une page Web. Cet outil décode et inspecte les réclamations (le débogage 95 %) ; vérifiez les signatures côté serveur avec la bibliothèque JWT de votre framework.
Pourquoi alg=none est-il marqué en rouge ?
La fameuse attaque « aucun algorithme » : certaines anciennes bibliothèques acceptaient les jetons non signés si l'en-tête n'en revendiquait aucun, permettant aux attaquants de forger n'importe quelle identité. Les serveurs doivent rejeter catégoriquement ces jetons – le drapeau rouge vous rappelle de vérifier le vôtre.
Que signifient exp, iat et nbf ?
Horodatages Unix régissant la validité : iat = lors de l'émission, nbf = non valide avant, exp = expiration. Le décodeur convertit chaque heure locale avec une description relative ("il y a 2 heures") et affiche un badge EXPIRÉ clair le cas échéant.