À propos de Décodeur JWT
Collez un JSON Web Token et voyez instantanément ce qu’il contient : le header décodé avec l’algorithme de signature, le payload complet avec chaque claim, et les horodatages standard (iat, exp, nbf) traduits en dates lisibles. L’outil vous indique aussi d’un coup d’œil si le token a déjà expiré ou combien de temps il lui reste — fini le copier-coller de secondes epoch dans un convertisseur séparé pendant le débogage.
Les JWT transportent couramment des identifiants de session, des informations utilisateur et des portées d’API : en coller un sur un site inconnu est un vrai risque de sécurité. Ce décodeur analyse tout localement dans votre navigateur : le token n’est jamais transmis, journalisé ni stocké, ce qui permet d’inspecter sans danger de vrais tokens de production en déboguant des flux de connexion, des intégrations OAuth, des bugs d’expiration ou des claims mal configurés. Notez que le décodage ne fait que lire le token — la signature n’est pas vérifiée.
Fonctionnalités
- Header et payload décodés affichés côte à côte
- Claims iat, exp et nbf convertis en dates lisibles
- Statut expiré ou valide-jusqu’à visible d’un coup d’œil
- Gère aussi bien les claims standard que personnalisés
- Token analysé localement — il ne quitte jamais votre navigateur
- Gratuit, instantané et sans inscription
Comment décoder un JWT en ligne
- Copiez le JWT depuis votre application, une réponse d’API ou le stockage du navigateur.
- Collez le token complet dans le champ de saisie.
- Lisez immédiatement le header et le payload décodés.
- Vérifiez les dates iat et exp traduites et le statut d’expiration.
- Passez en revue les claims personnalisés pour confirmer que votre flux d’authentification les définit correctement.
Questions fréquentes
Est-il sûr de coller un vrai JWT ici ?
Oui. Le token est découpé et décodé en Base64 entièrement dans votre navigateur avec JavaScript — aucune requête ne le transporte vers un serveur, et rien n’est journalisé ni stocké. Cela dit, traitez les tokens de production comme des mots de passe : cet outil ne les divulguera pas, mais évitez de les coller dans des outils qui ne peuvent pas faire la même promesse.
Cet outil vérifie-t-il la signature du JWT ?
Non. Il décode le header et le payload pour vous laisser lire les claims, mais il ne contrôle pas la signature, car la vérification exige le secret ou la clé publique de l’émetteur. Ne faites jamais confiance au contenu d’un token pour des décisions d’autorisation sans vérifier sa signature côté serveur avec la bonne clé.
Pourquoi puis-je lire un JWT sans la clé secrète ?
Parce que les JWT sont encodés, pas chiffrés. Le header et le payload ne sont que du JSON encodé en base64url que n’importe qui peut décoder ; le secret ne sert qu’à produire la signature prouvant que le token n’a pas été altéré. C’est pourquoi aucune donnée sensible ne devrait figurer dans un payload de JWT, sauf si le token est en plus chiffré en JWE.
Que signifient iat, exp et nbf ?
Ce sont des claims d’horodatage standard exprimés en secondes epoch Unix : iat est le moment d’émission du token, exp son expiration, et nbf l’instant avant lequel il ne doit pas être accepté. Ce décodeur convertit les trois dans votre date et heure locales et signale automatiquement les tokens expirés.
Pourquoi mon token ne se décode-t-il pas ?
Un JWT valide comporte exactement trois sections base64url séparées par des points : header, payload et signature. Le décodage échoue quand le token a été tronqué à la copie, entouré de guillemets ou d’un préfixe « Bearer », ou qu’il ne s’agit pas d’un JWT. Collez uniquement le token brut et vérifiez que les deux points ont survécu à la copie.