Décodeur JWT
Décodez et inspectez les JSON Web Tokens (JWT) pour visualiser l'algorithme de leur en-tête, les revendications de leur charge utile et leurs dates d'expiration. Essentiel pour le débogage des flux OAuth 2.0, OpenID Connect et d'authentification API. Cet outil ne fait que décoder — aucune vérification de signature n'est effectuée. Tout le traitement s'effectue dans votre navigateur pour une sécurité complète.
Décodeur JWT
Collez un JSON Web Token pour décoder son en-tête et sa charge utile. Aucune vérification de signature n'est effectuée.
Comment ça marche
Un JSON Web Token se compose de trois parties séparées par des points : en-tête.charge-utile.signature. L'en-tête spécifie l'algorithme de signature (ex. HS256, RS256). La charge utile contient des revendications — des paires clé-valeur avec des informations comme l'ID utilisateur (sub), le temps d'expiration (exp), l'émetteur (iss) et des données personnalisées.
L'en-tête et la charge utile sont tous deux des objets JSON encodés en Base64URL. Ce décodeur extrait et analyse ces parties, convertissant le Base64URL en JSON lisible. La signature (troisième partie) est utilisée pour la vérification mais n'est pas validée par cet outil.
Revendications JWT courantes
| Revendication | Nom | Description |
|---|---|---|
| iss | Émetteur | Qui a émis le jeton |
| sub | Sujet | À qui se réfère le jeton (généralement l'ID utilisateur) |
| aud | Audience | Destinataire prévu du jeton |
| exp | Expiration | Horodatage Unix de l'expiration du jeton |
| iat | Émis le | Horodatage Unix de l'émission du jeton |
| nbf | Pas avant | Le jeton n'est pas valide avant cette date |
Cas d'utilisation courants
- Débogage de l'authentification : Inspectez le contenu des jetons pour résoudre les problèmes de connexion, les sessions expirées ou les permissions manquantes.
- Développement d'API : Vérifiez que votre serveur d'authentification inclut les bonnes revendications dans les jetons émis.
- Audit de sécurité : Vérifiez quelles données sont exposées dans les JWT (rappelez-vous que la charge utile n'est pas chiffrée, seulement signée).
- Apprentissage d'OAuth 2.0 : Comprenez la structure et le contenu des jetons utilisés dans les flux OAuth et OpenID Connect.
Questions fréquemment posées
Qu'est-ce qu'un JWT ?
Un format de jeton compact et sûr pour les URL défini dans la RFC 7519 utilisé pour transmettre de manière sécurisée des revendications entre les parties, couramment utilisé pour l'authentification et l'autorisation dans les applications web.
Est-il sûr de décoder les JWT dans le navigateur ?
Oui. Les charges utiles JWT ne sont pas chiffrées — elles sont simplement encodées en Base64. Quiconque possède le jeton peut lire la charge utile. La signature empêche la falsification mais ne masque pas le contenu.
Cet outil vérifie-t-il la signature ?
Non. Cet outil ne fait que décoder l'en-tête et la charge utile pour inspection. La vérification de signature nécessite la clé secrète ou la clé publique, qui ne devraient jamais être partagées dans un outil de navigateur.
Qu'est-ce que l'encodage Base64URL ?
Une variante de Base64 qui utilise - au lieu de + et _ au lieu de /, et omet le remplissage (=). Cela rend la chaîne encodée sûre pour une utilisation dans les URL et les en-têtes HTTP.
Outils connexes
Convertisseur de texte Base64
Encodez du texte en Base64 ou décodez du Base64 en texte lisible.
Encodeur et décodeur URL
Encodez et décodez les composants URL en toute sécurité.
Encodeur d'entités HTML
Échappez et déséchappez les caractères spéciaux HTML.
Générateur de hachage
Générez des hachages MD5, SHA-1, SHA-256 et SHA-512.