fr

Décoder un JWT

Décodez un JSON Web Token localement dans votre navigateur en JSON lisible: en-tête et payload révélés, sans aucun envoi.

Traitement en local sur votre appareil ...

0%

Vos fichiers n’ont jamais quitté votre appareil

    Mon fichier est-il envoyé ?

    Non. Tout s’exécute dans votre navigateur - votre fichier ne quitte jamais votre appareil. Comment le vérifier

    Aucun envoi100 % en local
    Vos contenus restent chez vousaucun accès par des tiers
    Serveurs en AllemagneRGPD by design
    Audité en externeTLS A+ · En-têtes A+

    Un JSON Web Token (JWT, RFC 7519) est un token compact composé de trois parties séparées par des points: en-tête, payload et signature. L'en-tête et le payload ne sont que du JSON codé en Base64URL (RFC 7515): pas un secret, simplement une notation sûre pour le transport. Cet outil sépare les parties, redécode l'en-tête et le payload, et affiche le JSON contenu proprement indenté. D'un coup d'œil, vous voyez quel algorithme est déclaré et quelles informations (claims) le token transporte.

    Important et honnête: cet outil ne fait que décoder, il ne vérifie pas la signature. Une vérification réelle exige le secret ou la clé publique de l'émetteur, que cet outil ne vous demande jamais à dessein. Un token décodé n'est donc pas encore un token de confiance: son contenu peut avoir été falsifié. Servez-vous de cet aperçu pour comprendre et déboguer (quels claims, quand exp expire, quel iss), jamais comme preuve d'authenticité.

    Tout le traitement se déroule entièrement en local dans votre navigateur, en pur JavaScript: le token n'est pas envoyé, pas conservé, et aucune bibliothèque externe n'est chargée depuis un CDN. C'est décisif justement pour les tokens, car un token d'accès ou d'identité n'a pas sa place dans un formulaire en ligne tiers. Si ce que vous collez n'est pas un JWT valide, l'outil le dit honnêtement plutôt que d'inventer un résultat erroné.

    Fiche technique

    Fiche technique
    Formats d'entréeSaisie de texte
    Format de sortieJSON
    Traitement par lotsNon
    TraitementEn local dans le navigateur (JavaScript)
    Téléversement de fichiersAucun

    En 3 étapes

    1. Collez le JWT dans le champ de texte.
    2. Cliquez sur Décoder.
    3. Lisez ou téléchargez l'en-tête et le payload au format JSON.

    Limites: Décodage pur, sans vérification de la signature: l'outil ne confirme PAS qu'un token est authentique ou intact, cela exigerait la clé de l'émetteur. Il ne vérifie pas non plus si le token a expiré; il affiche seulement les claims. Les tokens chiffrés (JWE) ne sont pas déchiffrés. L'en-tête et le payload ne sont que du Base64URL, pas du chiffrement, donc ne placez jamais de secrets dans le payload.

    Questions fréquentes

    Mon token est-il envoyé ?

    Non. Le décodage s'exécute entièrement en local dans votre navigateur; le token ne quitte jamais votre appareil et n'est pas conservé.

    L'outil vérifie-t-il la signature ?

    Non. Il ne fait que décoder l'en-tête et le payload. Vérifier la signature exige la clé de l'émetteur, que cet outil ne vous demande jamais à dessein. Un token décodé n'est pas un token de confiance.

    Un JWT est-il chiffré ?

    En général non. L'en-tête et le payload sont seulement codés en Base64URL, que n'importe qui peut relire. Ne placez donc pas de secrets dans le payload.

    Que signifient des claims comme exp, iat ou iss ?

    Claims standard: iss est l'émetteur, iat l'instant d'émission, exp l'expiration (en temps Unix), sub le sujet. L'outil les affiche tels quels; il ne les évalue pas.

    Que se passe-t-il avec une entrée invalide ?

    Si ce que vous collez n'est pas un JWT valide (nombre de parties incorrect ou Base64URL cassé), l'outil signale une erreur honnête au lieu de produire un résultat faux.

    Outils associés