Decodeur JWT

Un JSON Web Token est un format de jeton compact et compatible URL utilise pour transmettre des informations de maniere securisee entre des parties. Les JWT sont le standard industriel pour l'authentification sans etat dans les applications web, les API et les microservices. Un JWT se compose de trois parties encodees en Base64URL separees par des points : un en-tete qui specifie l'algorithme et le type de token, un payload qui contient les claims, c'est-a-dire les donnees effectives, et une signature qui verifie que le token n'a pas ete altere.

Ce decodeur JWT gratuit analyse n'importe quel JWT et affiche son contenu dans un format lisible avec coloration syntaxique. Il detecte et met en evidence automatiquement l'algorithme utilise, verifie le statut d'expiration du token et formate les claims temporels en dates lisibles. Tout le decodage s'effectue entierement dans votre navigateur, rendant son utilisation sure avec des tokens de production.

• Decodage JWT instantane avec coloration syntaxique de l'en-tete et du payload
• Detection automatique du statut d'expiration : indique si le token est valide ou expire
• Formatage lisible des claims temporels iat, exp et nbf
• Detection et affichage de l'algorithme depuis l'en-tete
• Sortie JSON coloree : chaines, nombres, booleens et valeurs null
• Copie en un clic des sections en-tete, payload et signature
• Detection d'erreurs pour les tokens JWT malformes ou invalides
• Mise en page claire a deux panneaux : saisie du token a gauche, sortie decodee a droite
• Mode plein ecran pour inspecter les tokens volumineux
• 100 % cote client : aucune donnee n'est envoyee a un serveur

1. Collez votre token JWT dans la zone de texte du panneau de gauche.
2. L'en-tete, le payload et la signature decodes apparaissent instantanement a droite.
3. Verifiez le badge de statut pour savoir si le token est valide ou expire.
4. Consultez les claims temporels affiches dans un format de date lisible.
5. Cliquez sur l'icone de copie a cote de n'importe quelle section pour la copier dans votre presse-papiers.
6. Utilisez le bouton Effacer pour reinitialiser et decoder un nouveau token.

• Debogage de problemes d'authentification en inspectant le contenu et l'expiration des tokens
• Verification que les tokens contiennent les claims attendus avant le deploiement
• Verification de l'expiration d'un token lors du diagnostic d'erreurs 401
• Comprehension de l'algorithme et de la structure de tokens tiers
• Apprentissage du format JWT et des claims a des fins pedagogiques
• Inspection rapide de tokens pendant le developpement et les tests API

• Cet outil ne fait que decoder les JWT. Il ne verifie pas les signatures, car cela necessite la cle secrete ou la cle publique
• Tout le decodage s'effectue dans votre navigateur : aucune donnee de token n'est transmise a un serveur
• Ne partagez jamais de tokens de production dans des environnements non securises
• Les JWT sont encodes, pas chiffres. N'importe qui peut decoder le payload sans la cle secrete
• Validez toujours les signatures de tokens cote serveur avant de faire confiance aux claims
• Definissez des durees d'expiration courtes et utilisez des tokens de rafraichissement pour une meilleure securite

L'en-tete contient generalement deux champs : alg specifiant l'algorithme de signature comme HS256, RS256 ou ES256, et typ qui vaut generalement JWT. L'en-tete indique au serveur comment verifier la signature du token.

Le payload contient les claims : iss pour l'emetteur, sub pour le sujet, aud pour l'audience, exp pour l'heure d'expiration, iat pour l'heure d'emission, nbf pour l'heure de non-validite avant, et tout claim personnalise necessaire a votre application. Les claims standards ont des significations definies dans la specification JWT.

La signature est creee en encodant l'en-tete et le payload, puis en les signant avec l'algorithme specifie dans l'en-tete. Pour les algorithmes HMAC, cela necessite un secret partage, tandis que pour les algorithmes RSA et ECDSA, on utilise une cle privee. La signature garantit que le contenu du token n'a pas ete modifie.