Décodez un JSON Web Token pour inspecter son en-tête et sa charge utile, avec des heures d'expiration et d'émission lisibles. S'exécute entièrement dans votre navigateur ; les tokens ne sont jamais envoyés.
Comment utiliser l'outil Décodeur JWT
Collez un JWT sous la forme en-tête.charge.signature.
Lisez l'en-tête et la charge utile décodés en JSON formaté.
Vérifiez les heures d'expiration et d'émission, et si le token a expiré.
Questions fréquentes
Non. Il décode et affiche l'en-tête et la charge utile. La vérification de la signature nécessite le secret de signature ou la clé publique, que vous ne devriez pas coller dans un outil web.
Le décodage lit l'en-tête et la charge utile en Base64url, qui ne sont pas chiffrés. La vérification recalcule la signature avec la clé pour prouver que le token est authentique et non modifié.
Le décodage se fait entièrement dans votre navigateur, donc le token n'est pas envoyé. Cependant, traitez les tokens actifs comme des secrets et évitez de les coller sur des ordinateurs partagés.
Ce sont des claims standards : iat est la date d'émission (issued-at), nbf est valide à partir de (not-valid-before), et exp est la date d'expiration. Le décodeur convertit ces timestamps Unix en heure locale lisible.
Oui. L'expiration ne change pas la façon dont un token est décodé, vous pouvez donc inspecter les claims d'un token expiré et voir exactement quand il a expiré.
Un JWT est signé, pas chiffré. La charge utile est uniquement encodée en Base64url, donc n'importe qui peut la lire. Ne mettez jamais de secrets dans une charge utile JWT.
Un JSON Web Token comporte trois parties séparées par des points : un en-tête encodé en Base64url, une charge utile encodée en Base64url, et une signature. Ce décodeur sépare et décode les deux premières parties instantanément dans votre navigateur, et le token ne quitte jamais votre appareil.
L'usage le plus courant est d'inspecter un token retourné par une API : qui l'a émis (iss), quand il expire (exp), quelles permissions il porte (scope ou rôles), et s'il a déjà expiré. L'expiration est affichée en heure locale lisible, pas en timestamp Unix brut, pour voir d'un coup d'oeil si le token est encore valide.
Note : cet outil décode et affiche, il ne vérifie pas la signature contre une clé secrète. Pour la vérification de signature, vous avez besoin du secret de signature ou de la clé publique, qui ne devraient jamais être saisis dans un outil basé sur un navigateur.
Outils similaires
Générez des hachages SHA-1, SHA-256, SHA-384 et SHA-512 de n'importe quel texte, directement dans votre navigateur.
Convertissez des couleurs entre HEX, RGB et HSL avec un aperçu en direct.
Convertissez les horodatages Unix en dates lisibles et inversement : UTC, heure locale, ISO 8601 et temps relatif. Les secondes et millisecondes sont détectées automatiquement.
Encodez et décodez les URLs et composants d'URL en percent-encoding, compatible UTF-8.
Nous utilisons des cookies essentiels au fonctionnement du site. Avec votre consentement, nous chargeons aussi Google AdSense, qui dépose des cookies publicitaires. Consultez notre politique de confidentialité.