JWT Decoder

Collez un JWT et visualisez instantanément son en-tête, sa charge utile et sa signature.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
Qu'est-ce qu'un JWT ?

                
Le JSON Web Token (JWT, RFC 7519) est un standard ouvert pour transmettre des claims entre deux parties de manière sécurisée et compacte. Les JWT sont utilisés dans les API web modernes pour l'authentification et l'autorisation — par exemple, après une connexion pour identifier l'utilisateur à chaque requête suivante.

                
Important : Un JWT n'est pas chiffré, seulement signé. Quiconque possède le token peut en lire le contenu. Ne stockez jamais de mots de passe ou de données sensibles dans la charge utile.


                
Structure d'un JWT

                
    
                    
  • En-tête — décrit le type de token (typ) et l'algorithme de signature (alg), par ex. HS256, RS256.
    • 
                    
  • Payload — contient les claims (données) en JSON, encodé en base64url. Les claims standards et personnalisés sont autorisés.
    • 
                    
  • Signature — signature cryptographique sur en-tête + payload, créée avec l'algorithme indiqué dans alg.
    • 
                


                
Claims standards (RFC 7519)

                
    
                    
  • iss — Issuer (émetteur du token)
    • 
                    
  • sub — Subject (généralement l'identifiant utilisateur)
    • 
                    
  • aud — Audience (destinataire prévu du token)
    • 
                    
  • exp — Expiration Time (expiration en timestamp Unix)
    • 
                    
  • iat — Issued At (date d'émission du token)
    • 
                    
  • nbf — Not Before (non valide avant cet instant)
    • 
                


                
Cet outil est-il sécurisé ?

                
Oui. Le décodage se fait entièrement dans votre navigateur avec JavaScript. Aucun token n'est envoyé à un serveur et rien n'est journalisé. Vous pouvez inspecter l'implémentation dans les outils de développement du navigateur à tout moment. Ne collez toutefois des tokens de production que dans des environnements de confiance.