Décodeur JWT

Décoder et inspecter les jetons JWT (en-tête et payload).

Sécurité

À propos de JWT

Un JWT a trois parties encodées en base64url séparées par des points : en-tête (algorithme, type), payload (claims comme l'id utilisateur ou l'expiration), et signature. Cet outil décode les deux premières parties pour que vous puissiez les inspecter. Il ne vérifie pas la signature — utilisez votre serveur ou une librairie crypto pour cela lors de l'authentification.

Comment utiliser JWT Decoder

  1. Collez votre chaîne JWT complète dans le champ de saisie. Le jeton doit avoir trois parties séparées par des points (header.payload.signature).
  2. Cliquez sur Décoder pour analyser le jeton. L'en-tête et le payload décodés apparaissent instantanément en JSON formaté.
  3. Utilisez les boutons Copier l'en-tête ou Copier le payload pour copier l'une ou l'autre section dans votre presse-papiers.
  4. Examinez les claims dans le payload — recherchez les champs comme exp (expiration), iat (émission), sub (sujet), et tout claim personnalisé.

Fonctionnalités principales

  • Décodage instantané — Collez un JWT et voyez l'en-tête et le payload immédiatement, sans attente ni rechargement de page.
  • 100 % côté client — Tout le décodage s'effectue dans votre navigateur avec JavaScript. Votre jeton n'est jamais envoyé à un serveur.
  • Sortie JSON formatée — Les résultats sont affichés en JSON pretty-print et indenté pour une lecture facile.
  • Copie en un clic — Copiez l'en-tête ou le payload décodé d'un seul clic.
  • Aucune installation requise — Fonctionne dans tout navigateur moderne sans extensions, téléchargements ni inscription.

Quand utiliser cet outil

  • Débogage de problèmes d'authentification API en inspectant les claims et les temps d'expiration des jetons
  • Vérification que le payload d'un JWT contient l'identifiant utilisateur, les rôles ou permissions attendus
  • Vérification de l'algorithme spécifié dans l'en-tête (ex. HS256, RS256)
  • Lecture rapide des données d'un jeton pendant le développement sans écrire de logique de décodage
  • Apprentissage de la structure JWT à des fins éducatives

Détails techniques

Le décodeur découpe la chaîne JWT sur le séparateur point, puis applique le décodage base64url aux deux premiers segments (en-tête et payload). Les octets décodés sont analysés comme JSON et affichés avec indentation. Le base64url diffère du Base64 standard en remplaçant + par - et / par _, et en omettant les caractères de padding. Le troisième segment (signature) n'est pas décodé car c'est un hachage binaire qui nécessite la clé secrète ou la clé publique pour la vérification. Cet outil supporte les jetons signés avec n'importe quel algorithme (HS256, RS256, ES256, etc.) puisqu'il ne fait que lire — il ne valide pas.

Conclusion

Le Décodeur JWT est un outil essentiel pour tout développeur travaillant avec l'authentification basée sur les jetons. Il vous permet d'inspecter rapidement les claims, de déboguer les problèmes et de comprendre le contenu des jetons — le tout sans exposer vos données à des services externes. Associez-le à notre Générateur JWT pour un flux de travail JWT complet.

Questions fréquentes

Qu'est-ce qu'un JWT ?
JWT (JSON Web Token) est un format compact pour envoyer des données entre parties. Il a trois parties (en-tête, payload, signature) en base64url, séparées par des points. Souvent utilisé pour l'authentification API et les jetons de session.
Est-il sûr de décoder mon JWT ici ?
Cet outil ne fait que décoder l'en-tête et le payload — il ne vérifie pas la signature ni n'envoie le jeton nulle part. Le décodage se fait dans votre navigateur. Ne collez pas de jetons contenant des données très sensibles si vous êtes sur un ordinateur partagé.
À quoi sert cet outil ?
Décoder les JWT est utile pour le débogage : vous pouvez voir les claims (ex. expiration, id utilisateur) et l'en-tête (ex. algorithme) sans appeler une API. Cet outil ne vérifie pas la signature ; utilisez votre backend ou une librairie dédiée pour la vérification.
Puis-je décoder des jetons signés avec n'importe quel algorithme ?
Oui. Puisque le décodeur ne lit que l'en-tête et le payload encodés en base64url, il fonctionne avec tout algorithme de signature (HS256, RS256, ES256, PS256, etc.). Le champ algorithme est visible dans l'en-tête décodé.