Skip to content
Securite · Authentification

Décodeur JWT

Collez un JWT pour décoder instantanément son en-tête, sa charge utile et sa signature. Inspectez les claims enregistrés, vérifiez l’expiration et confirmez les signatures. Tout s’exécute dans votre navigateur ; rien n’est transmis.

In-browser only Web Crypto API RFC 7519
Tout le décodage s’effectue dans votre navigateur — aucune donnée de jeton n’est transmise.

Guide

Comment utiliser

  1. 1
    Collez votre JWT

    Copiez un JWT depuis votre application, une réponse API ou les DevTools et collez-le dans le champ de saisie. Le décodage démarre automatiquement après une courte pause.

  2. 2
    Inspectez les panneaux décodés

    L'en-tête et la charge utile apparaissent en JSON formaté avec coloration syntaxique. Survolez les clés de claims enregistrés (iss, sub, exp…) pour voir leurs descriptions RFC 7519.

  3. 3
    Vérifiez l'expiration

    Un badge coloré dans le panneau de charge utile indique si le jeton est encore valide, expiré ou pas encore actif (selon les claims exp et nbf).

  4. 4
    Vérifiez la signature

    Ouvrez le panneau Vérifier la signature, choisissez Secret HMAC, Clé publique PEM ou JWK, saisissez votre clé et cliquez sur Vérifier pour confirmer la signature.

  5. 5
    Copiez les données décodées

    Utilisez le bouton Copier dans chaque panneau pour placer le JSON de l'en-tête ou de la charge utile dans le presse-papiers.

Référence

Structure d’un JWT expliquée

Structure d’un JWT expliquée
PartContentsEncoding
En-têteJSON encodé en Base64URL spécifiant le type de jeton (typ) et l’algorithme de signature (alg). Toujours le premier segment.Base64URL
Charge utileJSON encodé en Base64URL contenant les claims — assertions sur le sujet et données personnalisées.Base64URL
SignatureSignature cryptographique sur en-tête.charge-utile, utilisant l’algorithme déclaré dans l’en-tête. Prouve que le jeton n’a pas été altré.Base64URL

Questions fréquentes

Qu'est-ce qu'un JWT ?
Un JSON Web Token (JWT, RFC 7519) est un format de jeton compact et sûr pour les URL, composé de trois segments encodés en Base64URL séparés par des points : en-tête, charge utile et signature. Il est couramment utilisé pour l’authentification et l’échange d’informations dans les API web.
Est-il sûr de coller mon JWT dans cet outil ?
Oui. Tout le décodage et la vérification s’effectuent entièrement dans votre navigateur via les API intégrées. Aucune donnée n’est envoyée à un serveur — vous pouvez ouvrir l’onglet Réseau de votre navigateur et confirmer qu’aucune requête n’est effectuée.
Que signifie "alg: none" ?
Une valeur d’algorithme "none" signifie que le jeton ne porte aucune signature cryptographique. Tout serveur qui accepte un tel jeton sans vérifier la signature est vulnérable à une faille de sécurité critique. Ce décodeur signale cette situation avec un badge d’avertissement ambré.
Pourquoi le badge d'expiration affiche-t-il “Expiré” alors que le jeton fonctionne encore ?
L’expiration est vérifiée par rapport à l’horloge locale de votre appareil. Si votre horloge est en avance sur celle du serveur, un jeton que le serveur considère valide peut apparaître ici comme expiré.
Quels algorithmes de signature sont pris en charge ?
HMAC (HS256, HS384, HS512), RSA PKCS#1 v1.5 (RS256, RS384, RS512), ECDSA (ES256, ES384, ES512) et RSA-PSS (PS256, PS384, PS512). Les jetons avec alg: none ne peuvent pas être vérifiés.
Puis-je décoder un JWT créé par une bibliothèque différente ?
Oui. Le décodage JWT ne nécessite que le décodage Base64URL et l’analyse JSON — c’est entièrement standard et interopérable.
Quelle est la différence entre décoder et vérifier un JWT ?
Décoder lit le contenu du jeton en inversant l’encodage Base64URL — tout le monde peut le faire sans connaître la clé. Vérifier confirme cryptographiquement que le jeton a été signé par le détenteur de la clé privée, garantissant son authenticité et son intégrité.
Puis-je utiliser cet outil hors ligne ?
Oui. Une fois la page chargée, le décodage, les vérifications d’expiration et la vérification de signature fonctionnent sans connexion réseau.