Décodeur JWT — Décodage JSON Web Tokens et vérification

Décodez et analysez les JSON Web Tokens (JWT) avec notre Décodeur JWT. L'outil sépare automatiquement le token en ses trois parties (en-tête, charge utile, signature) et affiche le contenu décodé en JSON formaté. Reconnaît les algorithmes courants comme HS256, RS256, ES256 et affiche les informations d'expiration (exp, iat, nbf). Remarque : cet outil ne fait que décoder les tokens ; la vérification de la signature nécessite la clé secrète. Toutes les opérations sont effectuées localement dans votre navigateur.

Fonctionnalités

Décodage de l'en-tête : affiche l'algorithme (alg) et le type de jeton (typ)
Extraction de la charge utile : décode les revendications et données utilisateur
Vérification d'expiration : détecte automatiquement si le jeton a expiré
Mise en évidence syntaxique : JSON coloré pour une meilleure lisibilité
Affichage de la signature : montre la signature encodée en Base64URL
Côté client : tout le traitement se fait localement dans votre navigateur

Informations de sécurité importantes

Décoder ≠ vérifier : cet outil ne fait que décoder le JWT. Il ne vérifie PAS la signature.
Ne faites jamais confiance à un jeton non vérifié : validez toujours les signatures côté serveur avant d'utiliser les données.
Données sensibles : les JWT sont encodés en Base64, pas chiffrés. N'importe qui peut les décoder.
Clés secrètes : ne collez jamais de clés secrètes dans des outils en ligne ou du code côté client.

Pour les applications en production, utilisez des bibliothèques dédiées comme jsonwebtoken (Node.js), PyJWT (Python) ou firebase/php-jwt (PHP).

Structure d'un JWT

Un JWT se compose de trois parties encodées en Base64URL et séparées par des points (.):

HEADER.PAYLOAD.SIGNATURE

Header

Contient les métadonnées du jeton :

alg : algorithme (HS256, RS256...)
typ : type de jeton (JWT)

Payload

Contient les revendications :

sub : sujet (ID utilisateur)
exp : date d\'expiration
iat : date d\'émission
Revendications personnalisées

Signature

Vérifie l\'intégrité du jeton :

Signature HMAC ou RSA
Nécessite la clé secrète pour vérification
Empêche toute altération

Ressources Utiles

Wikipedia : JSON Web Token Introduction accessible aux concepts et à la structure des JWT

JWT.io Site officiel des JWT avec débogueur et informations sur les bibliothèques

RFC 7519 : JSON Web Token Spécification officielle IETF des JWT

Auth0 : introduction aux JSON Web Tokens Guide complet pour comprendre et utiliser les JWT

MDN : SubtleCrypto API Web Crypto pour les opérations cryptographiques en JavaScript