Aller au contenu
FileTinker
Tous les outils de fichiers

Décodeur JWT

Collez un JSON Web Token pour décoder instantanément son en-tête et sa charge utile, et voir quand il expire. Cet outil se contente de décoder et fonctionne entièrement dans votre navigateur : même vos tokens de production restent privés.

Comment décoder un JWT

  1. Collez votre JWT (la chaîne en-tête.charge_utile.signature).
  2. Lisez l'en-tête et la charge utile décodés sous forme de JSON formaté.
  3. Vérifiez les dates d'expiration et d'émission, affichées sous forme de dates lisibles.

À propos des JSON Web Tokens

Un JSON Web Token (JWT) regroupe trois parties encodées en base64url et séparées par des points : un en-tête (l'algorithme de signature et le type), une charge utile (les revendications, comme le sujet et l'expiration) et une signature. Décoder les deux premières parties révèle exactement ce qu'un token affirme, ce qui est précieux pour déboguer l'authentification et l'autorisation.

Cet outil se contente de décoder : il ne vérifie pas la signature, car la vérification nécessite le secret ou la clé publique ayant signé le token. N'oubliez pas que la charge utile d'un JWT est encodée, et non chiffrée : quiconque possède le token peut la lire, alors ne placez jamais de secrets dans les revendications. Le décodage se fait localement ici, donc coller un vrai token ne l'expose à aucun serveur.

Questions fréquentes

Cet outil vérifie-t-il la signature ?

Non. C'est un décodeur, pas un vérificateur : il lit l'en-tête et la charge utile, mais ne contrôle pas la signature, ce qui exigerait le secret de signature ou la clé publique. Ne faites jamais confiance au contenu d'un token sans le vérifier côté serveur.

Mon token est-il envoyé quelque part ?

Non. Le décodage se fait entièrement dans votre navigateur : votre JWT n'est jamais envoyé ni enregistré — idéal pour inspecter de vrais tokens sensibles.

Un JWT est-il chiffré ?

Non. L'en-tête et la charge utile sont encodés en base64url, et non chiffrés, donc quiconque possède le token peut les lire. La signature prouve seulement que le token n'a pas été altéré ; elle ne masque pas le contenu.

Que signifient exp et iat ?

Ce sont des revendications temporelles standard : iat indique quand le token a été émis et exp quand il expire, toutes deux sous forme d'horodatages Unix. Cet outil les affiche sous forme de dates lisibles et signale si le token a expiré.