JWT Decoder

Inspectez le contenu de vos JSON Web Tokens en toute sécurité.

Décoder un JWT en préservant la sécurité

Les JSON Web Tokens (JWT) sont utilisés pour gérer l'authentification des utilisateurs (OAuth, Bearer Tokens). Ils contiennent des informations non chiffrées mais signées cryptographiquement. Déboguer un token de production sur un site tiers peut faire fuiter des identifiants sensibles.

Notre décodeur JWT n'effectue aucune requête serveur. Il analyse les segments du token, décode l'encodage Base64Url et affiche vos "claims" (données) via Javascript directement dans votre fenêtre de navigateur.

Comment inspecter le contenu d'un JSON Web Token ?

1

Coller le Jeton

Collez la chaîne complète de votre token JWT divisée en trois segments encodés séparés par des points.

2

Décodage Base64Url

L'outil sépare l'en-tête (Header) des revendications de charge utile (Payload) instantanément.

3

Audit des Claims

Analysez les rôles, les dates d'expiration (exp) et les algorithmes de signature utilisés.

Inspecter vos payloads d'authentification sans exposer vos jetons secrets

Le standard JWT (JSON Web Token - RFC 7519) est le pilier des architectures d'authentification modernes découplées (OAuth2, OpenID Connect). Lors du développement de vos sessions d'utilisateurs ou de la configuration de vos serveurs d'authentification, décoder le jeton est indispensable pour auditer les rôles (scopes) et valider l'exactitude de la date d'expiration (timestamp Unix).

Utiliser des décodeurs tiers centralisés représente un risque critique de sécurité : si le jeton intercepté est encore valide en production, n'importe qui peut usurper l'identité de vos utilisateurs. Notre JWT Decoder garantit une isolation absolue : le décodage s'effectue hors-ligne côté client (Zéro Upload).

Questions Fréquentes

Un token déchiffré via cet outil expose-t-il mon mot de passe ou ma clé secrète ?

Non. Un token JWT n'est pas crypté, il est simplement encodé au format Base64Url. N'importe qui peut lire ses informations (Header et Payload) sans posséder la clé secrète. La clé secrète sert uniquement au serveur à valider la signature (le 3ème segment du token) afin de s'assurer que le contenu n'a pas été falsifié.

Pourquoi mon token affiche-t-il un échec de décodage ?

Un JSON Web Token valide doit obligatoirement respecter une structure stricte découpée en trois chaînes de caractères alphanumériques séparées par deux points uniques (Header.Payload.Signature). Assurez-vous d'avoir copié le token dans son intégralité, sans inclure le mot-clé d'en-tête "Bearer ".

Découvrez d'autres outils