Décodeur JWT

Collez votre JSON Web Token (JWT) pour décoder et visualiser instantanément son en-tête et sa charge utile. Supporte HS256, RS256 et d'autres algorithmes courants.

En-tête

// L'en-tête décodé apparaîtra ici

Charge utile (Payload)

// La charge utile décodée apparaîtra ici

Guide complet de notre décodeur de JSON Web Tokens (JWT)

Bienvenue dans notre décodeur JWT sécurisé et côté client. Cet outil en ligne gratuit est un utilitaire essentiel pour tout développeur, professionnel de la sécurité ou personne travaillant avec des systèmes d'authentification modernes. Il vous permet de décoder des JWT (JSON Web Tokens) instantanément et d'inspecter leur contenu dans un format propre et lisible par l'homme. Collez simplement votre jeton dans la zone de texte et notre outil analysera l'en-tête et la charge utile, en les affichant sous forme de JSON formaté.

La caractéristique la plus importante de ce décodeur JWT en ligne est sa sécurité. Tout le décodage et le traitement se déroulent à 100 % dans votre navigateur. Vos jetons ne sont jamais envoyés à notre serveur. Cette approche côté client garantit que vos informations sensibles, telles que les jetons d'authentification, les clés API ou les données utilisateur privées, restent complètement confidentielles. Vous pouvez déboguer n'importe quel jeton JWT en toute confiance.

Qu'est-ce qu'un JSON Web Token (JWT) ?

Un JSON Web Token (JWT) est une norme ouverte compacte et sécurisée pour les URL (définie par la RFC 7519) utilisée pour transmettre des informations de manière sécurisée entre les parties sous forme d'objet JSON. Parce que ces informations sont signées numériquement, elles peuvent être vérifiées et sont dignes de confiance. Les JWT sont sans état (stateless) et autonomes, ce qui signifie que toutes les informations nécessaires pour authentifier un utilisateur sont contenues dans le jeton lui-même. Cela en fait un choix extrêmement populaire pour les applications web et mobiles modernes, en particulier pour gérer l'authentification et l'échange d'informations.

Vous pouvez facilement identifier un JWT par sa structure en trois parties, chaque partie étant séparée par un point (.) : header.payload.signature.

Les trois parties d'un JWT expliquées

Lorsque vous utilisez notre décodeur JWT, vous visualisez les versions décodées des deux premières parties du jeton.

1. L'en-tête (Métadonnées)

La première partie du jeton est l'en-tête JWT. C'est un objet JSON encodé en Base64Url. Il se compose généralement de deux paires clé-valeur :

2. La charge utile (Revendications/Claims)

La deuxième partie du jeton est la charge utile ou Payload. Cette partie est également un objet JSON encodé en Base64Url et contient les "revendications" (claims). Les revendications sont des déclarations sur une entité (généralement l'utilisateur) et des données supplémentaires. Il existe trois types de revendications :

Notre visualiseur de claims JWT facilite l'inspection de toutes ces revendications en un coup d'œil.

3. La signature

La troisième partie du jeton est la signature JWT. Elle est créée en prenant l'en-tête encodé, la charge utile encodée, une clé secrète (ou clé privée pour les algorithmes asymétriques) et en les passant par l'algorithme spécifié (alg).

Le but de la signature est de vérifier l'authenticité du jeton. Elle garantit que le jeton n'a pas été modifié pendant le transit. Si un attaquant change ne serait-ce qu'un seul caractère dans la charge utile, la signature ne sera plus valide. C'est pourquoi cet outil n'effectue pas et ne peut pas effectuer la validation de la signature ; cela nécessiterait la clé secrète, qui ne doit jamais être partagée ou collée dans un outil en ligne. Ce décodeur sert à inspecter les données (claims) à l'intérieur du jeton, pas à vérifier son authenticité.

Comment utiliser cet outil de décodage JWT

  1. Copiez votre jeton : Copiez la chaîne JWT complète (les trois parties) depuis votre application, le stockage local du navigateur ou la réponse de l'API.
  2. Collez le jeton : Collez le jeton dans la zone de texte en haut de la page. Vous pouvez également utiliser le bouton "Charger un Exemple" pour voir un jeton valide.
  3. Cliquez sur "Décoder le Token" : L'outil analysera instantanément le jeton.
  4. Inspectez les résultats : L'en-tête et la charge utile s'afficheront dans deux zones JSON distinctes et clairement formatées ci-dessous, vous permettant de lire facilement toutes les données et métadonnées.
  5. Effacer : Cliquez sur le bouton "Effacer" pour recommencer.

Scénarios de débogage courants

Un décodeur JWT est principalement un outil de débogage. Voici les problèmes courants que vous pouvez résoudre avec :

Outils de développement associés

Comme les JWT sont basés sur d'autres normes web, vous pourriez trouver ces outils utiles en conjonction avec notre décodeur :

Foire Aux Questions

Qu'est-ce qu'un décodeur JWT ?

Un décodeur JWT est un outil qui divise un JSON Web Token en ses trois composants (en-tête, charge utile et signature) et affiche l'en-tête et la charge utile dans une structure JSON formatée et lisible par l'homme. Il vous permet d'inspecter rapidement les données (claims) et métadonnées stockées dans le jeton.

Est-il sûr d'utiliser ce décodeur JWT avec des jetons sensibles ?

Oui, il est 100 % sûr. Cet outil fonctionne entièrement côté client, dans votre navigateur. Votre jeton, vos en-têtes et votre charge utile ne sont jamais envoyés sur le réseau, ni enregistrés ou stockés sur nos serveurs. Vous pouvez décoder en toute sécurité des jetons d'authentification sensibles sans souci de confidentialité.

Cet outil valide-t-il la signature du JWT ?

Non. Cet outil décode uniquement le jeton ; il ne valide pas la signature. La validation d'une signature nécessite la "clé secrète" (pour les algorithmes symétriques comme HS256) ou la "clé publique" (pour les algorithmes asymétriques comme RS256) qui a été utilisée pour créer le jeton. Vous ne devriez jamais coller vos clés secrètes dans un outil en ligne. Ce décodeur sert à inspecter les données à l'intérieur du jeton, pas à vérifier son authenticité.

Quelle est la différence entre l'en-tête et la charge utile (Payload) ?

L'en-tête contient généralement des métadonnées sur le jeton, comme le type de jeton (typ, qui est 'JWT') et l'algorithme de signature utilisé (alg, par exemple, 'HS256'). La charge utile contient les données réelles ou "claims" qui sont envoyées, comme l'ID de l'utilisateur (sub), l'émetteur du jeton (iss), le temps d'expiration (exp) et toute autre donnée personnalisée.

Un JWT est-il encodé ou chiffré ?

C'est un point de confusion courant. Un JWT standard (JWS) est encodé (en utilisant Base64Url) et signé, mais il n'est pas chiffré. Cela signifie que toute personne possédant le jeton peut le décoder et lire son contenu (comme le démontre cet outil). Si vous avez besoin de cacher les données pour qu'elles ne soient pas lues, vous devez utiliser un jeton JSON Web Encryption (JWE).

Que signifie la revendication 'exp' dans un JWT ?

La revendication exp (Expiration Time) est une revendication enregistrée qui définit le temps à partir duquel le JWT ne doit pas être accepté pour traitement. Il s'agit d'un horodatage Unix (un nombre représentant les secondes depuis le 01-01-1970 00:00:00Z). Un serveur recevant un jeton doit toujours vérifier cette revendication pour s'assurer que le jeton n'a pas expiré.

Décodeur JWT : Outil en ligne gratuit et sécurisé pour décoder les JWT | CoderTab