Décodeur JWT
Décodez l'en-tête et le payload d'un JSON Web Token dans votre navigateur. Sans vérification de signature, rien ne quitte votre appareil.
Cet outil décode uniquement le token. Il ne vérifie PAS la signature, il ne peut donc pas vous dire si le token est authentique.
À quoi sert cet outil
Collez un JSON Web Token et lisez son en-tête et son payload sous forme de JSON formaté, instantanément et entièrement dans votre navigateur. Le décodeur sépare les trois segments base64url, met en forme le JSON et convertit les horodatages exp, iat et nbf en dates lisibles. Il ne vérifie jamais la signature et n'envoie jamais le token où que ce soit.
Vous travaillez avec des payloads d'API ? Décodez les valeurs avec Base64, ou mettez en forme un corps de réponse avec formateur JSON.
À quoi ça vous sert
- Inspecter les claims d'un token d'accès pendant le débogage d'une API.
- Vérifier quand un token a été émis et quand il expire.
- Confirmer quel algorithme et quel key id le token déclare dans son en-tête.
- Lire le subject, les scopes ou les claims personnalisés d'un token sans backend.
Comment l'utiliser
- Collez votre JSON Web Token dans la zone de saisie.
- Lisez l'en-tête et le payload décodés sous forme de JSON formaté.
- Vérifiez les claims exp, iat et nbf convertis en dates lisibles.
- Copiez l'en-tête ou le payload d'un seul clic.
Tout le travail se passe dans votre navigateur. Aucun fichier n'est envoyé à un serveur. Voir plus d'outils dans le même champ.
Va bien avec
D'autres outils qu'on utilise souvent dans le même flux.
Autres outils du même champ
DéveloppementEncodeur et décodeur Base64
Encodez ou décodez du texte en Base64, avec un alphabet URL-safe en option.
Formateur JSON
Formatez, validez ou minifiez du JSON, directement dans votre navigateur.
Kit UUID
Générez, validez et convertissez des UUIDs instantanément. Prend en charge v4, v5, v7, NIL et MAX.
Testeur de regex
Testez et déboguez vos expressions régulières en direct, avec les groupes de capture.
Questions fréquentes
Cet outil vérifie-t-il la signature ?
Non. Il décode seulement l'en-tête et le payload pour que vous puissiez les lire. Vérifier la signature nécessite la clé secrète ou publique de l'émetteur, et le faire dans le navigateur donnerait une fausse impression de sécurité. Considérez le résultat comme informatif, jamais comme une preuve que le token est authentique.
Mon token est-il envoyé à un serveur ?
Non. Le décodage s'exécute entièrement dans votre navigateur avec les fonctions base64 intégrées. Le token ne quitte jamais votre appareil, ce qui compte car les tokens d'accès sont des identifiants sensibles.
Que signifient exp, iat et nbf ?
Ce sont des claims de temps enregistrés. iat indique quand le token a été émis, exp quand il expire, et nbf le moment avant lequel il ne doit pas être accepté. Ils sont stockés en secondes depuis 1970, et l'outil les convertit en dates lisibles.
Pourquoi mon token apparaît-il comme structurellement invalide ?
Un JWT standard comporte exactement trois parties séparées par des points : en-tête, payload et signature. Si votre saisie a un autre nombre de parties, ou si un segment n'est pas un JSON base64url valide, l'outil le signale comme structurellement invalide tout en affichant ce qu'il a pu décoder.