Décodeur JWT
Décodez un token JWT (JSON Web Token) et affichez le header et le payload en JSON.
Soutenez le projet
J’ai choisi de limiter les publicités pour garder l’expérience simple et agréable. Si cet outil vous a été utile, vous pouvez m’aider à le faire vivre — chaque geste compte pour un développeur solo.
Décodeur JWT — Description et aide
Outil gratuit pour décoder un token JWT (JSON Web Token) et afficher le header et le payload en JSON. Idéal pour déboguer des tokens d’authentification ou comprendre le contenu d’un JWT sans vérifier la signature.
Description
Le décodeur JWT prend en entrée une chaîne JWT (trois parties séparées par des points : header.payload.signature), décode les parties header et payload encodées en base64url, et affiche le JSON correspondant. Aucune vérification de signature n’est effectuée : l’outil se contente de décoder. Tout le traitement est fait dans votre navigateur ; aucune donnée n’est envoyée sur un serveur.
Comment faire
- Collez votre token JWT dans la zone prévue (les trois parties sont colorées : header, payload, signature).
- Cliquez sur « Décoder le JWT ».
- Le header et le payload décodés s’affichent en JSON dans le bloc résultat.
- Utilisez les boutons « Copier » pour copier le JSON du header ou du payload.
Exemples
Un JWT valide a la forme eyJ...xxx.eyJ...yyy.signature :
- Header : souvent
{"alg":"HS256","typ":"JWT"}(algorithme et type). - Payload : les « claims » (p. ex.
sub,name,iat,exp). - Signature : partie non décodée ici (vérification non effectuée).
Exemple de payload décodé : {"sub":"1234567890","name":"John Doe","admin":true,"iat":1516239022}.
FAQ
Qu’est-ce qu’un JWT ?
Un JWT (JSON Web Token) est un standard (RFC 7519) pour représenter des informations de manière compacte entre deux parties. Il est souvent utilisé pour l’authentification (tokens d’accès, sessions). Un JWT est composé de trois parties en base64url séparées par des points : header, payload et signature.
L’outil vérifie-t-il la signature du JWT ?
Non. Le décodeur affiche uniquement le header et le payload décodés. Il ne vérifie pas que le token a été signé avec une clé secrète. Pour vérifier une signature, il faut utiliser une bibliothèque ou un outil dédié avec la clé appropriée.
Mes données sont-elles envoyées sur un serveur ?
Non. Le décodage est effectué entièrement dans votre navigateur. Aucun JWT n’est transmis à un serveur. Restez toutefois prudent : ne collez pas de tokens contenant des données sensibles sur des ordinateurs partagés.
Pourquoi mon JWT ne se décode pas ?
Un JWT valide doit avoir exactement 3 parties séparées par des points. Chaque partie (header et payload) doit être du JSON valide encodé en base64url. Vérifiez que vous avez bien collé le token en entier, sans espaces ou retours à la ligne en trop au milieu.
Que signifient les champs courants du payload (sub, iat, exp) ?
- sub : sujet (souvent l’identifiant de l’utilisateur).
- iat : « issued at », date d’émission du token (timestamp).
- exp : date d’expiration du token (timestamp). D’autres champs (name, email, etc.) dépendent de votre application.
Peut-on générer ou signer un JWT avec cet outil ?
Non. Cet outil ne fait que décoder (lire) un JWT existant. Pour générer ou signer un JWT, il faut utiliser une bibliothèque (par exemple en JavaScript, Python ou autre) ou un outil dédié à la création de tokens.
Une suggestion ou une demande d'outil ?
Vous avez repéré une erreur, vous souhaitez un nouvel outil ou vous avez un retour à partager ? Contactez-moi par email, je serais ravi d'échanger avec vous.