Décoder un JWT (JSON Web Token)
Décodez l'en-tête et le payload d'un JSON Web Token en ligne. Sans vérification de signature, gratuit et dans votre navigateur, rien ne sort.
Cet outil décode uniquement le token. Il ne vérifie PAS la signature, il ne peut donc pas vous dire si le token est authentique.
À quoi sert cet outil
Collez un JSON Web Token et lisez son en-tête et son payload sous forme de JSON formaté, instantanément et entièrement dans votre navigateur. Le décodeur sépare les trois segments base64url, met en forme le JSON et convertit les horodatages exp, iat et nbf en dates lisibles. Il ne vérifie jamais la signature et n'envoie jamais le token où que ce soit.
Vous travaillez avec des payloads d'API ? Décodez les valeurs avec Base64, ou mettez en forme un corps de réponse avec formateur JSON.
À quoi ça vous sert
- Inspecter les claims d'un token d'accès pendant le débogage d'une API.
- Vérifier quand un token a été émis et quand il expire.
- Confirmer quel algorithme et quel key id le token déclare dans son en-tête.
- Lire le subject, les scopes ou les claims personnalisés d'un token sans backend.
Comment l'utiliser
- Collez votre JSON Web Token dans la zone de saisie.
- Lisez l'en-tête et le payload décodés sous forme de JSON formaté.
- Vérifiez les claims exp, iat et nbf convertis en dates lisibles.
- Copiez l'en-tête ou le payload d'un seul clic.
Tout le travail se passe dans votre navigateur. Aucun fichier n'est envoyé à un serveur. Voir plus d'outils dans le même champ.
Va bien avec
D'autres outils qu'on utilise souvent dans le même flux.
- Encoder et Décoder du Base64
encoder et décoder du Base64
Indispensable quand vous déboguez une API.
- Formater et Valider du JSON
formater et valider du JSON
Indispensable quand vous déboguez une API.
- Générateur et Validateur d'UUID
travailler avec des UUIDs
Très bien combiné dans les flux de dev.
- Convertisseur de Timestamp Unix
convertir timestamps Unix et dates
Très bien combiné dans les flux de dev.
- Générateur de Mots de Passe Sécurisés
générer un mot de passe sécurisé
Indispensable quand vous déboguez une API.
Autres outils du même champ
DéveloppementEncoder et Décoder du Base64
Encodez et décodez du texte en Base64 en ligne, avec un alphabet URL-safe en option. Tout dans votre navigateur, rien n'est envoyé.
Formater et Valider du JSON
Formatez, validez et minifiez du JSON en ligne. Embellissez un JSON brouillon ou compactez-le en un clic, gratuit et dans votre navigateur.
Générateur et Validateur d'UUID
Générez, validez et convertissez des UUIDs en ligne: v4, v5, v7, NIL et MAX. Instantané, gratuit et dans votre navigateur, sans envoi.
Convertisseur de Timestamp Unix
Convertissez des timestamps Unix en dates lisibles et inversement en ligne, en secondes ou millisecondes. Gratuit et dans votre navigateur.
Questions fréquentes
Cet outil vérifie-t-il la signature ?
Non. Il décode seulement l'en-tête et le payload pour que vous puissiez les lire. Vérifier la signature nécessite la clé secrète ou publique de l'émetteur, et le faire dans le navigateur donnerait une fausse impression de sécurité. Considérez le résultat comme informatif, jamais comme une preuve que le token est authentique.
Mon token est-il envoyé à un serveur ?
Non. Le décodage s'exécute entièrement dans votre navigateur avec les fonctions base64 intégrées. Le token ne quitte jamais votre appareil, ce qui compte car les tokens d'accès sont des identifiants sensibles.
Que signifient exp, iat et nbf ?
Ce sont des claims de temps enregistrés. iat indique quand le token a été émis, exp quand il expire, et nbf le moment avant lequel il ne doit pas être accepté. Ils sont stockés en secondes depuis 1970, et l'outil les convertit en dates lisibles.
Pourquoi mon token apparaît-il comme structurellement invalide ?
Un JWT standard comporte exactement trois parties séparées par des points : en-tête, payload et signature. Si votre saisie a un autre nombre de parties, ou si un segment n'est pas un JSON base64url valide, l'outil le signale comme structurellement invalide tout en affichant ce qu'il a pu décoder.

