Gratuit en ligne JWT Decoder
Décodez et inspectez des jetons JWT en ligne. Consultez instantanément le Header, les claims du Payload et le statut d'expiration. 100 % côté client — votre jeton ne quitte jamais votre navigateur.
100% Côté client · Vos données ne quittent jamais votre navigateurComment utiliser JWT Decoder
Collez votre JWT dans le champ de saisie. Les JWT ressemblent à trois chaînes Base64url séparées par des points : header.payload.signature.
- Cliquez sur Décoder ou appuyez sur Ctrl/Cmd+Entrée pour analyser le jeton.
- Le panneau Header affiche l'algorithme et le type de jeton.
- Le panneau Payload affiche tous les claims, avec le statut d'expiration mis en évidence.
- La section Signature affiche la signature brute — la vérification n'est pas effectuée (nécessite votre clé secrète).
Utilisez Charger un exemple pour essayer un jeton de démonstration sans coller vos propres identifiants.
Questions fréquentes
Qu'est-ce qu'un JWT ?
Un JSON Web Token (JWT) est un format de jeton compact et sûr pour les URL, utilisé pour l'authentification et l'autorisation. Il se compose de trois parties encodées en Base64url séparées par des points : un Header (algorithme), un Payload (claims) et une Signature.
Cet outil vérifie-t-il la signature JWT ?
Non. La vérification de la signature nécessite la clé secrète et doit être effectuée côté serveur. Cet outil décode uniquement le Header et le Payload — il affiche les claims mais ne peut pas confirmer si le jeton a été signé légitimement.
Mon JWT est-il envoyé à un serveur ?
Non. Le jeton est entièrement décodé dans votre navigateur via des opérations sur les chaînes JavaScript. Aucune donnée n'est jamais transmise à un serveur externe.
Que signifie « expiration imminente » ?
Si le claim exp (expiration) du jeton est dans les 5 minutes suivant l'heure actuelle, l'outil affiche un avertissement « Expiration imminente ». Les jetons expirent exactement à l'horodatage Unix défini dans exp.
Pourquoi la signature est-elle affichée mais pas vérifiée ?
La vérification des signatures HMAC et RSA nécessite la clé secrète ou publique, que vous ne devriez jamais coller dans un outil web. Les octets de signature bruts sont affichés à titre informatif uniquement.
Quels claims le Payload contient-il généralement ?
Les claims enregistrés courants incluent sub (sujet), iat (émis le), exp (expiration), nbf (pas avant), iss (émetteur) et aud (audience). Les applications ajoutent également des claims privés personnalisés selon leurs besoins.