Decodeur JWT
Decodez et inspectez tout token web JSON. Voyez l|en-tete, la charge utile et la signature. Verifiez les signatures HS256 avec un secret. Verifiez si le token est expire. Tout le traitement s|effectue localement dans votre navigateur.
🔒 Tout le traitement s'effectue localement dans votre navigateur.
Comment utiliser ce decodeur JWT
- Collez un token JWT dans la zone de saisie — ou cliquez sur Charger exemple.
- Le token est decode a l|instant — l|En-tete affiche l|algorithme et le type, la Charge utile affiche toutes les revendication.
- L|etat d|expiration du token est affiche automatiquement — vert pour valide, rouge pour expire.
- Entrez une cle secrete ci-dessus pour verifier les signatures HS256/HS384/HS512.
- Cliquez sur Copier En-tete ou Copier Charge utile pour copier des sections individuelles.
A propos des tokens JWT
Les tokens web JSON (JWTs) sont la norme dominante pour l|authentification sans etat dans les applications web modernes. Lorsque vous vous connectez, le serveur emet un JWT signe que le client envoie avec chaque requete.
Les JWTs sont surs a decoder et inspecter — l|en-tete et la charge utile sont simplement du JSON code en Base64url. La signature est ce qui previent la manipulation.
Cet outil utilise l|API Web Crypto pour verifier les signatures basees sur HMAC (HS256, HS384, HS512) localement. Pour RS256 et d|autres algorithmes a cle publique, la cle publique de l|emetteur serait necessaire.
Questions fréquentes
Qu|est-ce qu|un token JWT? ▼
Un JWT (token web JSON) est un format compact et sur pour URL qui transmet des informations entre des parties sous forme d|objet JSON. Il se compose de trois parties : l|en-tete, la charge utile et la signature. Les JWTs sont couramment utilises pour l|authentification et l|autorisation.
Que montre un decodeur JWT? ▼
L|En-tete contient des metadonnees sur le token — l|algorithme de signature et le type de token. La Charge utile contient les revendications — champs predefinis comme sub (sujet), iat (emis a) et exp (expiration), plus des revendications personnalisees. La Signature est la preuve cryptographique.
Comment verifier une signature JWT? ▼
Entrez le token dans le decodeur, puis entrez la cle secrete (pour les algorithmes HMAC comme HS256) et cliquez sur Decoder JWT. Seul les algorithmes bases sur HMAC peuvent etre verifies localement.
Mon JWT est-il envoye a un serveur? ▼
Non. Tout le decodage et la verification se font a 100% dans votre navigateur. Le token ne quitte jamais votre appareil. Vous pouvez meme utiliser cet outil hors ligne.
Que signifie expire? ▼
La revendication exp (expiration) dans un JWT specifie quand le token devient invalide. Si l|heure actuelle est apres cet horodatage, le token est considere comme expire. Cet outil affiche le statut d|expiration.
Puis-je decoder un JWT sans verification de signature? ▼
Oui. Vous pouvez decoder n|importe quel JWT sans secret — l|en-tete et la charge utile sont simplement du JSON code en Base64url que n|importe qui peut lire.
Quelle est la difference entre HS256 et RS256? ▼
HS256 (HMAC avec SHA-256) est un algorithme symmetrique — le meme secret est utilise pour signer et verifier. RS256 (RSA avec SHA-256) est asymetrique — il utilise une cle privee pour signer et une cle publique pour verifier.