L'outil vérifie-t-il la signature ?

Pour les jetons HMAC (HS256, HS384, HS512), collez le secret et l'outil vérifie la signature directement sur votre appareil. Pour les jetons RS et ES (RS256/384/512, ES256/384/512), collez la clé publique PEM de l'émetteur et la vérification se fait de la même façon. Dans tous les cas, le secret ou la clé ne quitte jamais votre appareil.

Est-ce sans risque de coller un vrai jeton de production ?

Le décodage a lieu sur votre appareil, le jeton n'est envoyé à aucun serveur. Cela dit, un bearer token donne accès à quiconque le détient : le vrai risque c'est qu'on regarde par-dessus votre épaule, pas l'outil lui-même.

Que signifie un champ alg à 'none' ?

Certaines bibliothèques anciennes acceptaient des jetons sans signature avec alg=none, une faille bien connue. Une API en production doit refuser ce cas. Voir 'none' dans un jeton d'authentification est un signal qu'il faut corriger l'émetteur.

Pourquoi exp et iat apparaissent en nombres plutôt qu'en dates ?

Les JWT stockent les horodatages comme secondes écoulées depuis le 1er janvier 1970 UTC. Le décodeur affiche en plus une date locale lisible à côté de chaque revendication, vous voyez d'un coup d'œil si le jeton est périmé.

Puis-je décoder un jeton chiffré (JWE) ?

Un JWE comporte cinq segments séparés par des points et est chiffré, pas seulement signé. Cet outil lit les JWS (trois segments : header.payload.signature). Pour un JWE il faut la clé de déchiffrement, qui par construction reste sur le serveur destinataire.

Décodeur JWT

Décodez et inspectez vos tokens JWT instantanément

Jeton JWT

Algorithme: HS256Expire dans 1300j 7hÉmis le: 18 janv. 2018, 01:30:22Expire le: 1 janv. 2030, 00:00:00

Audit de sécuritéVérification conseillée

Le jeton est signé avec un vrai algorithme, pas "none".
Ce jeton est valable plus d'un an. Les jetons à longue durée sont risqués en cas de fuite — préférez des expirations courtes avec renouvellement.
L'émetteur ("iss") est défini.
Pas de claim "nbf". Elle est facultative, mais la définir empêche d'utiliser le jeton avant son heure de début.

En-tête

alg

HS256

typ

JWT

Charge utile

Revendications standard

sub

1234567890Sujet — l'utilisateur ou l'entité concerné par le jeton.

iat

151623902218 janv. 2018, 01:30:22Émis le — quand le jeton a été créé.

exp

18934560001 janv. 2030, 00:00:00Expiration — le jeton n'est plus valide après cette heure.

aud

freeonlinetools.ioAudience — à qui le jeton est destiné.

iss

auth.serviceÉmetteur — qui a créé et signé ce jeton.

Revendications personnalisées

name

John Doe

Signature

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Vérifier la signature

Saisissez le secret HMAC pour vérifier la signature. Votre secret reste sur votre appareil et n'est jamais envoyé nulle part.

Qu'est-ce que Décodeur JWT ?

Collez un JSON Web Token pour voir son en-tête, payload et signature décodés. Vérifiez les claims du token, contrôlez les dates d'expiration et déboguez les problèmes d'authentification en quelques secondes.

Le décodeur sépare le jeton sur les points, décode l'en-tête et la charge utile en Base64URL, puis les analyse comme du JSON. Vous voyez l'algorithme de signature (HS256, RS256, EdDSA, etc.), toutes les revendications réservées (iss, sub, aud, exp, iat, nbf, jti) et les revendications personnalisées de votre service. Les revendications horodatées sont converties depuis l'epoch Unix vers votre fuseau local, ce qui rend un jeton expiré immédiatement visible.

Comment utiliser

Collez votre token JWT dans le champ de saisie — les trois sections encodées en Base64 seront automatiquement détectées.
Consultez l'en-tête décodé (algorithme, type) et le payload (claims, expiration, émetteur) côte à côte.
Copiez les sections décodées individuellement ou la sortie complète.

Quand l'utiliser

Diagnostiquer un 401 en vérifiant si l'exp du bearer token est déjà dépassé.
S'assurer qu'un jeton émis en pré-production porte les bonnes valeurs aud et iss avant le passage en production.
Lire le user_id ou les scopes qu'un SSO tiers a placés dans votre jeton d'accès.

Résultat

Vous déboguez une erreur 401 dans votre API. Collez le bearer token de l'en-tête de la requête pour vérifier si la claim 'exp' a déjà expiré ou si la claim 'aud' correspond à l'audience attendue.

FAQ

L'outil vérifie-t-il la signature ?: Pour les jetons HMAC (HS256, HS384, HS512), collez le secret et l'outil vérifie la signature directement sur votre appareil. Pour les jetons RS et ES (RS256/384/512, ES256/384/512), collez la clé publique PEM de l'émetteur et la vérification se fait de la même façon. Dans tous les cas, le secret ou la clé ne quitte jamais votre appareil.
Est-ce sans risque de coller un vrai jeton de production ?: Le décodage a lieu sur votre appareil, le jeton n'est envoyé à aucun serveur. Cela dit, un bearer token donne accès à quiconque le détient : le vrai risque c'est qu'on regarde par-dessus votre épaule, pas l'outil lui-même.
Que signifie un champ alg à 'none' ?: Certaines bibliothèques anciennes acceptaient des jetons sans signature avec alg=none, une faille bien connue. Une API en production doit refuser ce cas. Voir 'none' dans un jeton d'authentification est un signal qu'il faut corriger l'émetteur.
Pourquoi exp et iat apparaissent en nombres plutôt qu'en dates ?: Les JWT stockent les horodatages comme secondes écoulées depuis le 1er janvier 1970 UTC. Le décodeur affiche en plus une date locale lisible à côté de chaque revendication, vous voyez d'un coup d'œil si le jeton est périmé.
Puis-je décoder un jeton chiffré (JWE) ?: Un JWE comporte cinq segments séparés par des points et est chiffré, pas seulement signé. Cet outil lit les JWS (trois segments : header.payload.signature). Pour un JWE il faut la clé de déchiffrement, qui par construction reste sur le serveur destinataire.

Décodeur JWT

Qu'est-ce que Décodeur JWT ?

Comment utiliser

Quand l'utiliser

Résultat

FAQ

Outils similaires

Générateur de clés PGP

Notes sécurisées

Chiffreur de fichiers

Décodeur de certificats SSL

Chiffrement de César

Générateur de phrases de passe

Décodeur JWT