Free Instant Tools
Menu

Décodeur JWT

juin 2026

Décodez et inspectez les JSON Web Tokens (JWT) en ligne. Affichez instantanément les données de l'en-tête, de la charge utile et de la signature. Décodage sécurisé côté client pour les développeurs.

Qu'est-ce qu'un décodeur JWT et que fait-il ?

Un Décodeur JWT est un outil de développement spécialisé conçu pour analyser et afficher le contenu d'un JSON Web Token (JWT). Les JWT sont un moyen compact et sûr pour les URL de représenter des revendications (claims) à transférer entre deux parties. Ils sont couramment utilisés pour l'authentification et l'échange d'informations dans les applications Web modernes.

Un JWT se compose de trois parties séparées par des points : un en-tête (Header), une charge utile (Payload) et une signature. Bien que la signature soit utilisée pour la vérification, l'en-tête et la charge utile sont simplement encodés en Base64Url. Notre outil prend cette chaîne encodée et la décode instantanément dans un format JSON lisible, vous permettant d'inspecter l'algorithme utilisé, l'émetteur, l'heure d'expiration et toutes les revendications personnalisées intégrées dans le jeton.

Comment utiliser le décodeur JWT

L'inspection de vos jetons est simple et sécurisée :

  1. Collez votre jeton : Copiez votre JWT (la longue chaîne commençant par eyJ...) et collez-la dans la zone de saisie.
  2. Analyse automatique : L'outil détectera instantanément les trois parties et les affichera dans des blocs séparés avec coloration syntaxique.
  3. Inspectez l'en-tête : Regardez la section « Header » pour voir le type de jeton et l'algorithme de signature (ex: HS256 ou RS256).
  4. Inspectez la charge utile : La section « Payload » contient les données réelles (revendications). Vous pouvez vérifier les champs exp (expiration), iat (émis à) et sub (sujet).
  5. Validation : Notez que cet outil décode le contenu mais ne vérifie pas la signature par rapport à une clé secrète. Il est destiné à des fins d'inspection et de débogage.

La structure d'un JWT

Un JSON Web Token suit une structure stricte en trois parties :

  • En-tête (Header) : Se compose généralement de deux parties : le type de jeton (JWT) et l'algorithme de signature utilisé.
  • Charge utile (Payload) : Contient les revendications. Les revendications sont des déclarations sur une entité (généralement, l'utilisateur) et des données supplémentaires. Il existe trois types de revendications : enregistrées, publiques et privées.
  • Signature : Pour créer la partie signature, vous devez prendre l'en-tête encodé, la charge utile encodée, un secret, l'algorithme spécifié dans l'en-tête, et signer le tout.

Le JWT final ressemble à ceci : base64UrlEncode(header) + "." + base64UrlEncode(payload) + "." + signature

Exemple concret

Regardons la charge utile d'un jeton d'authentification typique :

{
  "sub": "1234567890",
  "name": "Jean Dupont",
  "admin": true,
  "iat": 1516239022,
  "exp": 1516242622
}

En décodant cela avec notre outil, vous pouvez voir que :

  • L'ID utilisateur (sub) est 1234567890.
  • L'utilisateur a des privilèges admin.
  • Le jeton a été émis à un horodatage Unix spécifique (iat).
  • Le jeton expirera (exp) exactement une heure après son émission.

Conseils pratiques pour les développeurs

  • Ne mettez jamais de données sensibles dans un JWT : N'oubliez pas que les JWT sont généralement encodés, et non chiffrés. Quiconque intercepte le jeton peut le décoder. Ne stockez jamais de mots de passe, de numéros de carte de crédit ou d'informations personnelles sensibles dans la charge utile.
  • Vérifiez l'expiration : Vérifiez toujours la revendication exp sur votre serveur pour empêcher l'utilisation de sessions expirées.
  • Vérifiez l'algorithme : Méfiez-vous des jetons qui utilisent l'algorithme none dans l'en-tête, car cela peut être une vulnérabilité de sécurité s'il n'est pas géré correctement par votre bibliothèque.
  • Débogage de l'authentification : Utilisez cet outil pour vérifier rapidement que votre backend envoie les bons ID utilisateur ou rôles avant de plonger dans le débogage du code.

Foire aux questions

Est-il sûr de coller mon JWT ici ? Oui. Notre décodeur s'exécute entièrement dans votre navigateur à l'aide de JavaScript. Votre jeton n'est jamais envoyé à notre serveur ni stocké dans une base de données. Il reste sur votre machine.

Pourquoi ne puis-je pas voir la signature ? La signature est un hachage binaire. Bien que nous montrions la chaîne de signature brute, ce n'est pas du JSON « lisible » comme l'en-tête et la charge utile. Son but est la vérification par machine, pas l'inspection humaine.

Qu'est-ce que l'encodage Base64Url ? C'est une variante de Base64 qui remplace + par - et / par _ pour rendre le jeton sûr à utiliser dans les URL sans échappement.

Partager :

Foire aux questions

Est-il sûr de décoder mon JWT ici ?

Oui. Le décodage se fait entièrement dans votre navigateur en utilisant JavaScript. Votre jeton n'est jamais envoyé à nos serveurs.

Cet outil peut-il vérifier la signature ?

Cet outil est destiné au décodage et à l'inspection de la charge utile. Il ne vérifie pas la signature par rapport à une clé secrète pour des raisons de sécurité.

Outils connexes dont vous pourriez avoir besoin

Calculateur de rapport d'aspect

Calculateur de rapport d'aspect en ligne gratuit. Calculez les dimensions manquantes pour les images ou les vidéos tout en conservant les proportions. Prise en charge des rapports courants comme 16:9, 4:3.

Encodage et décodage Base64

Encodeur et décodeur Base64 en ligne gratuit. Convertissez instantanément du texte en Base64 et du Base64 en texte. Parfait pour les développeurs et le traitement de données.

Convertisseur de couleur (Hex/RGB/HSL)

Convertissez instantanément des couleurs entre les formats HEX, RGB et HSL. Prévisualisez les couleurs et trouvez les correspondances parfaites pour vos projets de conception web.

Explorer d'autres catégories

Temps et Date → Autres utilitaires → Fichiers et Médias → Mathématiques → Texte et Écriture → SEO et Marketing →