# Décodeur JWT

> Décodeur JWT gratuit côté client. Décodez l'en-tête et la charge utile, inspectez les revendications, l'expiration, l'émetteur et les horodatages sans téléverser votre jeton.

- **Category:** Développeur
- **URL:** https://www.teafun.cyou/tools/jwt-decoder/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** jwt token, bearer token, claims decoder, jwt parser
- **Related tools:** [Formateur et validateur JSON](https://www.teafun.cyou/tools/json-formatter/), [Encodeur / Décodeur Base64](https://www.teafun.cyou/tools/base64-tool/), [Vérificateur d'en-têtes de sécurité HTTP](https://www.teafun.cyou/tools/http-headers-checker/)
- **Tags:** Data, Security, Text

## About

Décodez les en-têtes et les charges utiles JWT localement dans votre navigateur. Inspectez les revendications, l'expiration, l'émetteur et les horodatages sans envoyer de jetons ailleurs.

## Comment utiliser le décodeur JWT

Collez le jeton complet (trois segments séparés par des points) dans l'entrée. L'outil se divise aux points, décode Base64URL chaque segment et restitue l'en-tête et la charge au format JSON. Les réclamations numériques comme `iat`, `nbf` et `exp` (secondes Unix depuis 1970) sont converties en dates ISO-8601 avec la valeur brute. La bannière d'état indique expiré (`now > exp`), pas encore valide (`now < nbf`), ou actif. Si le décodage échoue, l'erreur indique quel segment est mal formé — généralement un jeton tronqué par copier-coller, une chaîne Base64URL manquant de caractères, ou collage accidentel d'un ID de session opaque au lieu d'un JWT. Utilisez Copier pour obtenir le JSON de n'importe quel segment pour une inspection supplémentaire dans `jq`, Postman ou votre IDE. Le segment de signature s'affiche brut — la vérification est intentionnellement hors de portée.

## Pourquoi l'inspection JWT compte

Quand l'authentification échoue, la première étape d'inspection est toujours le jeton: quelles réclamations sont présentes, a-t-il expiré, `aud` correspond-il à l'API attendue, `iss` est-il le bon serveur d'autorisation, le client a-t-il demandé le bon `scope`? Sans décodeur local, les développeurs collent les jetons de production sur des sites en ligne aléatoires — chaque collage est une fuite potentielle de credentials pour quiconque possède les journaux, l'analyse ou le back-end de ce site. Le décodage local de Base64URL arrête la fuite. Au-delà du débogage, la maîtrise de JWT est importante pour l'examen de sécurité: repérer un jeton `alg: none`, remarquer un `exp` des années dans le futur, ou capturer une réclamation de rôle inattendue dans la charge ne prend que quelques secondes avec un décodeur et des minutes sans. Les JWT sont des jetons porteurs — la possession est l'autorisation. Les traiter avec soin lors de l'inspection, c'est la même hygiène que traiter avec soin les credentials de la base de données de production.

_SEO title: Décodeur JWT – Inspecteur de Jetons | TeaFun_

## FAQ

### Cet outil vérifie-t-il la signature du JWT ?

Non. Cette page ne fait que décoder l'en-tête et la charge utile localement. Elle ne valide pas les signatures ni ne fait confiance au jeton.

### Pourquoi utiliser ceci plutôt que jwt.io ?

TeaFun met l'accent sur un décodage axé sur la confidentialité. Votre jeton reste dans votre navigateur et n'est jamais téléversé pour traitement.

### Quels horodatages sont affichés ?

S'ils sont présents, exp, iat et nbf sont convertis des horodatages Unix en dates ISO lisibles.