Espace outil
décodeur JWT et parseur JSON Web Token en ligne
Décodez header, payload et métadonnées utiles du token JWT.
Décodeur JWT
Décodeur JWT
octets →
Décodeur JWT
Paramètres de requête
IDN / Punycode
Décodeur JWT
..
En-tête
Payload
Métadonnées
· Expire:
Vérifier la signature
Signer (HS)
Décodeur JWT
Bibliothèque de motifs
Correspondances surlignées
Correspondances ()
Résultat du remplacement
Décodeur JWT
Relatif:
Fuseau horaire
Construire par parties
Différence
Décodeur JWT
Décodeur JWT
Décodeur JWT
Exemples
Jeton
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Charge décodée
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Guides et articles
Comment fonctionne un JSON Web Token dans une application réelle
Un JWT transporte des claims signés. Comprendre header, payload, signature et validation évite de le traiter comme une session magique.
Lire l’articleErreurs de sécurité fréquentes avec JWT
Les risques JWT viennent surtout d’algorithmes trop permissifs, de claims non validés, de durées trop longues, de clés mal gérées et de stockage faible.
Lire l’articleJWT ou sessions: choisir un modèle d’authentification
JWT et sessions classiques ont des compromis différents. Le choix dépend de révocation, clients, permissions, scalabilité et exploitation.
Lire l’articleDécodeur JWT
Décodez header, payload et métadonnées utiles du token JWT. DevToolGrid Online propose un décodeur JWT et parseur JSON Web Token en ligne.
Qu’est-ce qu’un JWT ?
Un JWT (JSON Web Token) est un jeton compact et sûr pour les URL, utilisé pour l’authentification et l’autorisation. Il comporte trois parties Base64URL séparées par des points : un en-tête (l’algorithme de signature), une charge utile (des claims comme l’identifiant et l’expiration) et une signature qui protège les deux premières parties contre toute altération. L’en-tête et la charge ne sont qu’encodés, pas chiffrés.
Comment décoder et vérifier un JWT
- 1 Collez le jeton dans la saisie ; l’en-tête et la charge sont décodés instantanément.
- 2 Lisez les claims et l’état lisible d’expiration (exp) et de non-avant (nbf).
- 3 Pour vérifier, collez le secret pour HS256/384/512 ou la clé publique pour les algorithmes RS/ES.
- 4 Vous pouvez aussi signer un nouveau jeton HS à partir d’un en-tête, d’une charge et d’un secret.
Erreurs JWT courantes
- Mettre des secrets dans la chargeLa charge est seulement encodée en Base64 et lisible par tous. N’y stockez jamais de mots de passe ni de données sensibles.
- Ne pas vérifier la signatureDécoder un jeton ne prouve pas son authenticité. Vérifiez toujours la signature côté serveur.
- Ignorer l’expirationUn jeton dont l’exp est dépassée doit être rejeté même si la signature est valide.
Décoder vs vérifier un JWT
Décoder lit simplement l’en-tête et la charge — n’importe qui peut le faire car ces parties ne sont pas chiffrées. Vérifier contrôle la signature avec un secret ou une clé publique pour confirmer que le jeton a été émis par une partie de confiance et n’a pas été modifié. Cet outil décode tout jeton et vérifie les signatures HS, RS, ES et PS dans le navigateur.
FAQ
Cet outil est-il gratuit ?
Oui. Le décodeur et le vérificateur de JWT sont entièrement gratuits, sans inscription.
Mon jeton est-il envoyé à un serveur ?
Non. Le décodage, la vérification et la signature se font localement dans votre navigateur ; les jetons ne quittent jamais votre appareil.
La signature est-elle vraiment vérifiée ?
Oui. Fournissez le secret ou la clé publique et l’outil vérifie la signature avec l’API Web Crypto.
Est-il sûr de coller un jeton de production ?
Comme tout s’exécute localement, le jeton n’est pas transmis. Manipulez toutefois les jetons réels avec prudence et préférez des jetons de test.