Décodeur JWT (Payload & Header)

Name: Décodeur JWT (Payload & Header)
Author: Kitmul

Visualisez et inspectez instantanément l'en-tête et la charge utile (payload) de vos JSON Web Tokens.

Le Décodeur JWT vous permet de coller n'importe quel JSON Web Token et de visualiser instantanément son en-tête (algorithme, type de token) et sa charge utile (claims, expiration, émetteur) dans un format lisible et structuré. Le décodage s'exécute entièrement dans votre navigateur — vos tokens sensibles ne sont jamais envoyés à aucun serveur. Recherchez parmi les claims, copiez les données décodées et comprenez la structure des tokens pour déboguer les flux d'authentification dans les applications web et mobiles.

Entrée JWT

Structure décodée

Collez un JWT pour commencer le décodage

Vos données restent dans votre navigateur

Cet outil vous a-t-il été utile ?

Notez cet outil

Tutoriel

Comment Decoder un JWT

Collez Votre Token

Copiez la chaine JWT de vos en-tetes de requête, cookies ou réponse d'authentification et collez-la dans le champ de saisie ci-dessus.

Inspectez la Sortie Decodee

L'outil divise et decode instantanement les sections header et payload, affichant l'algorithme, les claims et l'expiration en JSON lisible.

Recherchez et Copiez les Claims

Utilisez la barre de recherche pour trouver des claims spécifiques dans les grands payloads. Copiez des sections individuelles ou la sortie complete en un clic.

Guide

Guide Complet des JSON Web Tokens

Qu'est-ce qu'un JSON Web Token (JWT) ?

Un JSON Web Token (JWT, prononcé 'djot') est un moyen compact et sûr pour les URLs de représenter des claims transférés entre deux parties. Il se compose de trois parties encodées en Base64Url séparées par des points : l'En-tête (spécifiant l'algorithme et le type de token), la Charge Utile (contenant les claims comme l'ID utilisateur, l'email, les rôles et le temps d'expiration) et la Signature (utilisée pour vérifier que le token n'a pas été altéré). Les JWTs sont le standard d'authentification dans les applications web modernes, les APIs et les architectures de microservices.

Pourquoi le décodage JWT est important pour les développeurs

Les développeurs ont fréquemment besoin d'inspecter les JWTs lors du débogage d'authentification, de l'intégration d'APIs et de l'audit de sécurité. Comprendre quels claims contient un token — qui l'a émis (iss), quand il expire (exp), quelles permissions il accorde (scope ou rôles) — est essentiel pour résoudre les échecs de connexion, les erreurs de permissions et les problèmes de renouvellement de tokens. Un décodeur JWT transforme la chaîne Base64 opaque en JSON lisible, rendant ces détails instantanément visibles sans écrire de code personnalisé.

Concepts clés des JWT

Les claims enregistrés sont des champs standardisés : iss (émetteur), sub (sujet), aud (audience), exp (expiration), nbf (pas avant), iat (émis à), jti (ID unique). Les claims personnalisés portent des données spécifiques à l'application comme les rôles ou les permissions. L'en-tête spécifie l'algorithme de signature — couramment HS256 (HMAC-SHA256) pour la signature symétrique ou RS256 (RSA-SHA256) pour la signature asymétrique. Important : le décodage révèle la charge utile, mais seule la vérification de signature (nécessitant la clé secrète) confirme que le token est authentique et non modifié.

Meilleures pratiques de sécurité JWT

Ne stockez jamais les JWTs dans localStorage — utilisez des cookies httpOnly pour prévenir les attaques XSS. Définissez des temps d'expiration courts (15-60 minutes) et utilisez des tokens de rafraîchissement pour les sessions plus longues. Validez toujours la signature côté serveur avant de faire confiance aux claims. Ne mettez pas de données sensibles dans la charge utile — les JWTs sont encodés, pas chiffrés. Utilisez HTTPS exclusivement pour empêcher l'interception des tokens. Faites tourner les clés de signature périodiquement.

Sources

Examples

Exemples Résolus

Exemple : Déboguer un Token Expiré

Donné : Un utilisateur signale qu'il ne peut pas accéder à l'API malgré être connecté.

Étape 1 : Copiez le JWT des en-têtes de la requête de l'utilisateur.

Étape 2 : Collez-le dans le décodeur pour voir la charge utile.

Étape 3 : Vérifiez le claim 'exp' (expiration) — il affiche un horodatage Unix qui est déjà passé.

Étape 4 : Le token a expiré et le mécanisme de rafraîchissement a échoué.

Résultat : Le problème est un token expiré. Corrigez le flux de token de rafraîchissement pour renouveler automatiquement les tokens avant expiration.

Exemple : Vérifier les Claims du Token

Donné : Une API renvoie 403 Interdit pour un utilisateur qui devrait avoir un accès admin.

Étape 1 : Décodez le JWT de l'utilisateur.

Étape 2 : Vérifiez le claim 'rôles' dans la charge utile — il affiche ['user'] mais pas ['admin'].

Étape 3 : Le rôle de l'utilisateur n'a pas été mis à jour dans le fournisseur d'identité après sa promotion.

Résultat : Mettez à jour le rôle dans le fournisseur d'identité et demandez une ré-authentification pour recevoir un nouveau token avec les claims admin.

Cas d'utilisation

Débogage d'authentification

“Décodez les tokens JWT pour identifier les problèmes d'authentification tels que les tokens expirés, les claims manquants ou les rôles incorrects dans les applications web et APIs REST, accélérant la résolution des problèmes d'accès.”

Intégration d'APIs

“Inspectez les claims et permissions des tokens émis par des fournisseurs d'identité comme Auth0, Firebasé ou AWS Cognito pour vérifier que la configuration OAuth 2.0 est correcte lors de l'intégration.”

Audit de sécurité

“Examinez les tokens JWT pour vérifier qu'ils ne contiennent pas d'informations sensibles dans la charge utile, que les algorithmes de signature sont sûrs et que les temps d'expiration sont appropriés pour les politiques de sécurité.”

Foire Aux Questions

?Que fait un décodeur JWT ?

Un décodeur JWT extrait et affiche les données d'en-tête et de charge utile encodées dans un JSON Web Token. Il révèle l'algorithme, le type de token, les claims, la date d'expiration et d'autres métadonnées sans nécessiter de clé secrète.

?Est-il sûr de décoder des JWT en ligne ?

Oui, cet outil décode les JWT entièrement dans votre navigateur en JavaScript. Votre token n'est jamais envoyé à un serveur, garantissant une confidentialité à 100 %. Évitez toutefois de partager des tokens décodés contenant des claims sensibles.

?Cet outil vérifie-t-il les signatures JWT ?

Non, cet outil décode uniquement l'en-tête et la charge utile. Il ne vérifie pas la signature cryptographique. Pour la vérification de signature, vous avez besoin de la clé secrète ou publique et d'une bibliothèque côté serveur.

?Quelles sont les trois parties d'un JWT ?

Un JWT se compose de trois parties encodées en Base64Url séparées par des points : l'en-tête (algorithme et type de token), la charge utile (claims et données) et la signature (utilisée pour la vérification).

?Puis-je décoder des tokens JWT expirés ?

Oui, le décodeur fonctionne sur tout JWT au format valide, que le token ait expiré ou non. Vous pouvez inspecter le claim 'exp' dans la charge utile pour voir l'horodatage exact d'expiration.

?Quels claims JWT puis-je voir ?

Vous pouvez voir tous les claims standard comme iss (émetteur), sub (sujet), aud (audience), exp (expiration), iat (émis le) et nbf (pas avant), ainsi que tous les claims personnalisés ajoutés par l'émetteur du token.

?Comment utiliser ce décodeur JWT ?

Collez simplement votre chaîne JWT (au format header.payload.signature) dans le champ de saisie. L'outil décode et affiche instantanément les sections d'en-tête et de charge utile dans un format lisible.

Aidez-nous à améliorer

Aimez-vous cet outil ?

Chaque outil Kitmul est construit à partir de vraies demandes d'utilisateurs. Votre note et vos suggestions nous aident à corriger des bugs, ajouter des fonctionnalités manquantes et créer les outils dont vous avez vraiment besoin.