Décodeur JWT - Décodez et vérifiez les JWT dans votre navigateur

// décodez les JWT sans envoyer de données à un serveur

Côté client uniquement — vos données ne quittent jamais le navigateur
Entrée du Token
Déposez le fichier JWT ou le texte ici

Comment décoder les tokens JWT

1

Collez votre token JWT

Copiez votre JSON Web Token et collez-le dans le champ de saisie. Le décodeur JWT analyse et décode automatiquement le token encodé en Base64URL instantanément.

2

Voir les claims décodés

Inspectez l'en-tête et la charge utile JWT décodés. Visualisez les claims comme iss, sub, exp et iat en format JSON ou tableau avec des horodatages lisibles.

3

Vérifier la signature JWT

Entrez votre clé secrète ou clé publique pour vérifier la signature du token. Supporte les algorithmes HS256, HS384, HS512 (HMAC) pour la validation de signature.

Qu'est-ce qu'un JSON Web Token (JWT) ?

en-tête . charge utile . signature

Un JSON Web Token (JWT) est un standard ouvert (RFC 7519) pour transmettre des informations de manière sécurisée entre les parties sous forme d'objet JSON compact et sûr pour les URL. Les JWT sont couramment utilisés pour l'authentification, l'autorisation et l'échange d'informations dans les applications web modernes, les API et les systèmes d'authentification unique (SSO).

en-tête

Contient le type de token et l'algorithme de signature (ex. HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

charge utile

Contient les claims : enregistrés (iss, exp, sub), publics et privés.

{"sub": "user123", "exp": 1699999999}

signature

Signature cryptographique qui vérifie que le token n'a pas été altéré.

HMACSHA256(base64(header).base64(payload), secret)

Cas d'utilisation courants des JWT

Authentification API

Les JWT sont le standard pour sécuriser les API REST. Après connexion, le serveur émet un JWT que le client inclut dans l'en-tête Authorization: Bearer pour les requêtes suivantes.

Authentification unique (SSO)

Les JWT permettent une authentification transparente entre plusieurs applications. Une seule connexion génère un token qui fonctionne sur tous les services connectés de votre organisation.

Échange d'informations

Transmettez des données de manière sécurisée entre les parties. La signature garantit l'identité de l'expéditeur et que le message n'a pas été altéré en transit.

Authentification d'applications mobiles

Authentification sans état idéale pour les applications mobiles. Pas besoin de sessions côté serveur—le JWT contient toutes les informations utilisateur nécessaires.

Questions fréquemment posées

Ce décodeur JWT est-il sûr pour les tokens de production ?

Oui, ce décodeur JWT est totalement sûr. Tout le décodage et la vérification se font entièrement dans votre navigateur en utilisant JavaScript. Vos tokens et clés secrètes ne sont jamais envoyés à aucun serveur. Vous pouvez vérifier cela en consultant les requêtes réseau dans les outils de développement de votre navigateur—aucune donnée ne quitte votre appareil.

Quelle est la différence entre décoder et vérifier un JWT ?

Décoder convertit simplement l'en-tête et la charge utile encodés en Base64URL en JSON lisible. N'importe qui peut décoder un JWT sans clé. Vérifier vérifie la signature cryptographique pour s'assurer que le token n'a pas été altéré et a été émis par une source de confiance. La vérification nécessite la clé secrète (pour HMAC) ou la clé publique (pour RSA/ECDSA).

Quels algorithmes de signature JWT sont supportés ?

Cet outil peut décoder les JWT signés avec n'importe quel algorithme. Pour la vérification de signature, nous supportons actuellement les algorithmes HMAC (HS256, HS384, HS512) utilisant l'API Web Crypto. Le support de la vérification RSA (RS256, RS384, RS512) et ECDSA (ES256, ES384, ES512) est prévu.

Pourquoi la vérification de ma signature JWT échoue-t-elle ?

Les raisons courantes incluent : 1) Mauvaise clé secrète—assurez-vous d'utiliser exactement la même clé qui a signé le token. 2) Mauvais format—essayez de basculer entre UTF-8 et Base64 si votre secret est encodé en Base64. 3) Non-correspondance d'algorithme—vérifiez que le claim alg dans l'en-tête correspond à votre méthode de vérification. 4) Token modifié—tout changement de l'en-tête ou de la charge utile invalide la signature.

Que signifient les claims JWT standard ?

Claims enregistrés définis dans RFC 7519 :

  • iss (émetteur) – Qui a émis le token
  • sub (sujet) – L'utilisateur ou l'entité que le token représente
  • aud (audience) – Destinataire prévu du token
  • exp (expiration) – Horodatage Unix de l'expiration du token
  • nbf (pas avant) – Le token n'est pas valide avant ce moment
  • iat (émis à) – Quand le token a été créé
  • jti (ID JWT) – Identifiant unique du token