Décodeur JWT
Collez un JSON Web Token pour voir son header et son payload. Le décodeur tourne dans le navigateur — le token ne quitte pas votre appareil.
Utile pour déboguer des API, inspecter des tokens OAuth ou OpenID, ou vérifier les claims d'un access token.
En-tête
Decoded header will appear here.
Payload
Decoded payload will appear here.
Résumé des claims
Décodage seul — pas de vérification de signature
Cet outil décode uniquement le header et le payload du token. Il ne vérifie pas la signature, car la vérification exige le secret ou la clé publique, et la faire dans le navigateur n'a pas de sens — ce que vous collez ici est déjà exposé à l'utilisateur. Traitez le résultat comme purement informatif.
Qu'est-ce qu'un JWT ?
Un JSON Web Token (RFC 7519) est une chaîne compacte composée de trois sections encodées en Base64url séparées par des points : header.payload.signature. Le header décrit l'algorithme de signature, le payload porte les claims, et la signature permet au serveur de prouver que le token n'a pas été altéré.
Exemples
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
FAQ
Cet outil vérifie-t-il la signature ?
Non. Il décode seulement header et payload. La vérification de signature exige le secret ou la clé publique et doit avoir lieu sur un serveur de confiance, pas dans le navigateur.
Mon token est-il envoyé à un serveur ?
Non. Le décodeur tourne entièrement dans votre navigateur. Le token est parsé localement et ne quitte jamais votre appareil.
Que signifient exp, iat et nbf ?
Ce sont des claims enregistrés standards : iat est l'instant d'émission, nbf l'instant « pas avant », et exp l'instant d'expiration. Les trois sont des timestamps Unix en secondes.
Pourquoi mes caractères Base64 diffèrent du Base64 habituel ?
JWT utilise Base64url, qui remplace + par -, / par _ et supprime le padding =. Le décodeur gère cela automatiquement.