Développeur

Décodeur JWT

Collez un JSON Web Token pour le diviser en en-tête, charge utile et signature. Les horodatages comme exp et iat sont formatés en dates lisibles, et le tableau des revendications montre chaque champ d'un coup d'œil. Fonctionne entièrement dans votre navigateur.

Jeton JWT

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT) est un moyen compact et sécurisé pour URL de représenter des revendications entre deux parties. Il se compose de trois segments encodés en base64url reliés par des points : un en-tête qui nomme l'algorithme de signature, une charge utile qui contient les revendications, et une signature qui prouve que le token a été émis par quelqu'un détenant la clé de signature. Les JWT sont le format par défaut pour les tokens d'accès OAuth 2.0, les tokens d'identité OpenID Connect, et la plupart des systèmes de session sans état. Ce décodeur divise le token et montre le JSON brut pour chaque segment — il ne vérifie pas la signature, car cela nécessiterait le secret ou la clé publique de l'émetteur.

Comment utiliser le décodeur JWT

1
Collez votre token
Copiez un JWT depuis un en-tête d'autorisation, un journal de débogage, ou une URL. Il devrait ressembler à eyJ...eyJ...signature avec trois segments.
2
Examinez l'en-tête et la charge utile
L'en-tête montre l'algorithme (alg) et le type de token (typ). La charge utile liste chaque revendication — sub, iss, aud, exp, iat, et tout champ personnalisé.
3
Vérifiez l'expiration d'un coup d'œil
Les bannières de validité vous indiquent immédiatement si le token est expiré, actif, ou pas encore valide (nbf). Les revendications temporelles sont affichées à la fois en UTC et sous forme relative.
4
Copiez des sections individuelles
Utilisez le bouton de copie sur le panneau d'en-tête ou de charge utile pour obtenir un JSON propre pour le débogage, le partage, ou le collage dans un autre outil.

Anatomie du JWT

Un JWT a trois segments encodés en base64url reliés par des points :
 
    en-tête.charge utile.signature
 
En-tête  — JSON décrivant l'algorithme de signature
          { "alg": "HS256", "typ": "JWT" }
 
Charge utile — JSON contenant les revendications
          { "sub": "1234", "exp": 1700000000 }
 
Signature — HMAC ou RSA sur en-tête.charge utile, encodé en base64url
 
Revendications temporelles standard (secondes depuis l'époque) :
  exp  = temps d'expiration
  iat  = émis à
  nbf  = pas avant

L'en-tête et la charge utile sont des JSON simples que tout le monde peut lire — base64url est un encodage, pas un chiffrement. La signature est ce qui rend le jeton digne de confiance : elle est calculée par l'émetteur à l'aide d'une clé secrète (pour les algorithmes HS*) ou d'une clé privée (pour les algorithmes RS*/ES*) sur les deux premiers segments. Un serveur qui reçoit le jeton recompute la signature avec la clé secrète ou publique correspondante et rejette tout ce qui ne correspond pas. C'est pourquoi vous ne devez jamais mettre de données sensibles comme des mots de passe dans une charge utile, et pourquoi cet outil ne fait que décoder — la vérification nécessite la clé de l'émetteur.

Référence : RFC 7519 — JSON Web Token (JWT)

Exemples

Entrée	Sortie
En-tête : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } En-tête minimal pour un jeton HMAC-SHA256.
Charge utile avec la revendication exp	{ "sub": "1234", "exp": 1700000000 } exp est le nombre de secondes depuis l'époque — 2023-11-14 en UTC.
Jeton expiré	Jeton expiré · Expire le 2024-01-01 (il y a 3 mois) La bannière de validité devient rouge lorsque exp est dans le passé.
Jeton malformé (seulement deux segments)	Jeton invalide : 3 segments attendus, 2 reçus Un JWT doit avoir exactement trois parties séparées par des points en base64url.

Cas d'utilisation courants

Déboguer un jeton d'accès OAuth pour voir quels scopes et quelle audience il contient
Vérifier si une requête échouée est due à un jeton expiré
Inspecter un jeton d'identité OpenID Connect pour lire des revendications utilisateur comme sub et email
Décoder un jeton de lien magique ou de réinitialisation de mot de passe pour confirmer la charge utile signée
Vérifier que l'émetteur correct (iss) et l'audience (aud) sont définis sur un jeton
Lire l'en-tête kid pour déterminer quelle clé de signature a été utilisée
Comparer deux jetons côte à côte lors de l'investigation d'un bug de session
Apprendre à ses coéquipiers comment les JWT sont structurés sans écrire de code

Outils connexes

Formateur JSON

Formatez, validez et minifiez le JSON avec un rapport d'erreur précis sur la ligne et la colonne.

Encodeur Base64

Encodez et décodez du texte Base64 avec une variante sécurisée pour les URL et un support UTF-8 optionnel.

Convertisseur de Timestamp Unix

Convertir entre les numéros d'époque et les dates avec détection automatique pour les secondes vs millisecondes.

Calculateur d'âge

Calculez votre âge exact en années, mois et jours à partir de n'importe quelle date de naissance.

Questions fréquemment posées

Cet outil vérifie-t-il la signature ?

Non. Vérifier une signature nécessite la clé secrète de l'émetteur (pour les algorithmes HMAC) ou la clé publique (pour RSA et ECDSA). Cet outil ne fait que décoder l'en-tête et la charge utile afin que vous puissiez les lire. Traitez tout jeton que vous décodez ici comme non fiable jusqu'à ce que votre backend valide la signature par rapport à la clé de l'émetteur.

Est-il sûr de coller un vrai JWT ici ?

Tout s'exécute dans votre navigateur — le jeton n'est jamais téléchargé, stocké ou enregistré. Cela dit, un jeton d'accès entre vos mains est aussi puissant qu'un mot de passe : si votre navigateur a des extensions qui lisent le contenu des pages, elles pourraient théoriquement le voir. Pour un débogage paranoïaque, utilisez une nouvelle fenêtre privée ou décodez hors ligne.

Pourquoi la signature est-elle affichée sous forme d'octets au lieu de texte ?

La signature est un blob binaire brut — typiquement 32 octets pour HS256, 256 octets pour RS256. Elle est encodée en base64url dans le jeton mais la forme décodée n'est pas lisible par l'homme, donc l'outil rapporte le nombre d'octets au lieu d'essayer d'afficher des caractères illisibles.

Quelle est la différence entre exp, iat et nbf ?

Ce sont les trois revendications temporelles standard du RFC 7519. exp est le temps d'expiration — après ce moment, le jeton est invalide. iat est le temps de création — quand le jeton a été créé. nbf est le temps avant lequel — le moment le plus tôt où le jeton peut être utilisé. Les trois sont mesurés en secondes depuis l'époque Unix.

Mes horodatages semblent très décalés — sont-ils incorrects ?

Les JWT utilisent des secondes depuis l'époque, pas des millisecondes. Cet outil détecte automatiquement l'unité en vérifiant si la valeur est supérieure à 10^12 (traitée comme des millisecondes). Si vous avez une revendication non standard stockant un horodatage sous un nom différent, elle est affichée comme un nombre brut plutôt que comme une date.

Pourquoi le décodage échoue-t-il avec "not valid base64url" ?

Le segment contient des caractères en dehors de l'alphabet base64url (A-Z a-z 0-9 - _) ou manque de remplissage. Copier-coller depuis des clients de messagerie ou des applications de chat peut silencieusement introduire des espaces ou des guillemets intelligents. Essayez de copier le jeton depuis une source fraîche comme les outils de développement du navigateur.

Puis-je décoder un JWT chiffré (JWE) ?

Non. Cet outil décode les JWT signés (JWS). Un jeton JWE a cinq segments au lieu de trois et sa charge utile est chiffrée plutôt que simplement encodée — vous avez besoin de la clé privée du destinataire pour le lire. Un jeton JWS régulier avec une revendication chiffrée (comme les jetons opaques d'Auth0) ne se décode également pas en JSON lisible.

Ai-je besoin de l'option Base64 sécurisée pour l'URL ?

Les segments JWT sont toujours encodés en base64url, donc l'outil le gère automatiquement — aucune option nécessaire. Si vous devez encoder ou décoder un texte base64url arbitraire en dehors d'un JWT, utilisez l'encodeur Base64 séparé avec la case à cocher sécurisée pour l'URL activée.

Dernière mise à jour 2026-04-21

Chargement...

Qu'est-ce qu'un JWT ?

Comment utiliser le décodeur JWT

Collez votre token

Copiez un JWT depuis un en-tête d'autorisation, un journal de débogage, ou une URL. Il devrait ressembler à eyJ...eyJ...signature avec trois segments.

Examinez l'en-tête et la charge utile

L'en-tête montre l'algorithme (alg) et le type de token (typ). La charge utile liste chaque revendication — sub, iss, aud, exp, iat, et tout champ personnalisé.

Vérifiez l'expiration d'un coup d'œil

Les bannières de validité vous indiquent immédiatement si le token est expiré, actif, ou pas encore valide (nbf). Les revendications temporelles sont affichées à la fois en UTC et sous forme relative.

Copiez des sections individuelles

Utilisez le bouton de copie sur le panneau d'en-tête ou de charge utile pour obtenir un JSON propre pour le débogage, le partage, ou le collage dans un autre outil.

Anatomie du JWT

Un JWT a trois segments encodés en base64url reliés par des points :
 
    en-tête.charge utile.signature
 
En-tête  — JSON décrivant l'algorithme de signature
          { "alg": "HS256", "typ": "JWT" }
 
Charge utile — JSON contenant les revendications
          { "sub": "1234", "exp": 1700000000 }
 
Signature — HMAC ou RSA sur en-tête.charge utile, encodé en base64url
 
Revendications temporelles standard (secondes depuis l'époque) :
  exp  = temps d'expiration
  iat  = émis à
  nbf  = pas avant

Exemples

Entrée	Sortie
En-tête : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } En-tête minimal pour un jeton HMAC-SHA256.
Charge utile avec la revendication exp	{ "sub": "1234", "exp": 1700000000 } exp est le nombre de secondes depuis l'époque — 2023-11-14 en UTC.
Jeton expiré	Jeton expiré · Expire le 2024-01-01 (il y a 3 mois) La bannière de validité devient rouge lorsque exp est dans le passé.
Jeton malformé (seulement deux segments)	Jeton invalide : 3 segments attendus, 2 reçus Un JWT doit avoir exactement trois parties séparées par des points en base64url.

Cas d'utilisation courants

Déboguer un jeton d'accès OAuth pour voir quels scopes et quelle audience il contient

Vérifier si une requête échouée est due à un jeton expiré

Inspecter un jeton d'identité OpenID Connect pour lire des revendications utilisateur comme sub et email

Décoder un jeton de lien magique ou de réinitialisation de mot de passe pour confirmer la charge utile signée

Vérifier que l'émetteur correct (iss) et l'audience (aud) sont définis sur un jeton

Lire l'en-tête kid pour déterminer quelle clé de signature a été utilisée

Comparer deux jetons côte à côte lors de l'investigation d'un bug de session

Apprendre à ses coéquipiers comment les JWT sont structurés sans écrire de code