Appuyez sur / pour rechercher

Décodeur JWT

Décodez les en-têtes et les charges utiles JWT localement dans votre navigateur. Inspectez les revendications, l'expiration, l'émetteur et les horodatages sans envoyer de jetons ailleurs.

🔒 Aucune requête réseau. Les jetons ne quittent jamais votre navigateur.

Vous venez de tester Décodeur JWT — Essayez Formateur et validateur JSON ensuite →

Qu'est-ce qu'un décodeur JWT ?

Un JSON Web Token (RFC 7519) comprend trois segments encodés en Base64URL séparés par des points: header.payload.signature. L'en-tête déclare l'algorithme de signature (alg: HS256, RS256, ES256, etc.) et le type de jeton. La charge contient des réclamations — Enregistrées (iss, sub, aud, exp, iat, nbf, jti selon RFC 7519 §4.1), Publiques (noms enregistrés par l'IANA comme email, name) et Privées (tout champ personnalisé que votre application définit). La signature est HMAC ou RSA/ECDSA sur la chaîne concaténée header.payload en utilisant une clé que le vérificateur connaît. Ce décodeur lit l'en-tête et la charge localement — il ne vérifie pas la signature, car la vérification nécessite le secret ou la clé publique, et coller l'un ou l'autre dans un outil web serait contre-productif. Décoder ≠ Vérifier: un JWT apparemment valide peut avoir une signature contrefaite, un exp expiré, ou un en-tête alg: none que certaines bibliothèques négligentes acceptent (la vulnérabilité alg: none de 2015 apparaît toujours dans les audits). Utilisez ce décodeur pour inspecter pendant les travaux d'intégration, jamais comme barrière avant d'autoriser une demande.

Comment utiliser le décodeur JWT

Collez le jeton complet (trois segments séparés par des points) dans l'entrée. L'outil se divise aux points, décode Base64URL chaque segment et restitue l'en-tête et la charge au format JSON. Les réclamations numériques comme iat, nbf et exp (secondes Unix depuis 1970) sont converties en dates ISO-8601 avec la valeur brute. La bannière d'état indique expiré (now > exp), pas encore valide (now < nbf), ou actif. Si le décodage échoue, l'erreur indique quel segment est mal formé — généralement un jeton tronqué par copier-coller, une chaîne Base64URL manquant de caractères, ou collage accidentel d'un ID de session opaque au lieu d'un JWT. Utilisez Copier pour obtenir le JSON de n'importe quel segment pour une inspection supplémentaire dans jq, Postman ou votre IDE. Le segment de signature s'affiche brut — la vérification est intentionnellement hors de portée.

Pourquoi l'inspection JWT compte

Quand l'authentification échoue, la première étape d'inspection est toujours le jeton: quelles réclamations sont présentes, a-t-il expiré, aud correspond-il à l'API attendue, iss est-il le bon serveur d'autorisation, le client a-t-il demandé le bon scope? Sans décodeur local, les développeurs collent les jetons de production sur des sites en ligne aléatoires — chaque collage est une fuite potentielle de credentials pour quiconque possède les journaux, l'analyse ou le back-end de ce site. Le décodage local de Base64URL arrête la fuite. Au-delà du débogage, la maîtrise de JWT est importante pour l'examen de sécurité: repérer un jeton alg: none, remarquer un exp des années dans le futur, ou capturer une réclamation de rôle inattendue dans la charge ne prend que quelques secondes avec un décodeur et des minutes sans. Les JWT sont des jetons porteurs — la possession est l'autorisation. Les traiter avec soin lors de l'inspection, c'est la même hygiène que traiter avec soin les credentials de la base de données de production.

Questions fréquemment posées

Cet outil vérifie-t-il la signature du JWT ?

Non. Cette page ne fait que décoder l'en-tête et la charge utile localement. Elle ne valide pas les signatures ni ne fait confiance au jeton.

Pourquoi utiliser ceci plutôt que jwt.io ?

TeaFun met l'accent sur un décodage axé sur la confidentialité. Votre jeton reste dans votre navigateur et n'est jamais téléversé pour traitement.

Quels horodatages sont affichés ?

S'ils sont présents, exp, iat et nbf sont convertis des horodatages Unix en dates ISO lisibles.

Ces collections regroupent les outils et guides qui reviennent souvent dans le même travail.

Flux de données pour le développement

Formatez, inspectez, convertissez et validez JSON, YAML, env, JWT, en-têtes et logs directement dans le navigateur.

Ouvrir la collection →

Parcourir les mêmes tags

Passez à d'autres outils qui partagent le même flux, format ou cas d'usage.

Données 8Texte 8Sécurité 3

Outils utiles pour la suite selon ce que vous faites maintenant.

Formateur et validateur JSON

Formatez, validez et minifiez du JSON instantanément dans votre navigateur. Aucune requête réseau — vos données ne quittent jamais votre appareil.

Données Formatage Texte

Encodeur / Décodeur Base64

Encodez et décodez du Base64 localement dans votre navigateur. Prend en charge la conversion de texte, le Base64 URL-safe et l'export de fichiers en Base64.

Données Conversion Sécurité

Vérificateur d'en-têtes de sécurité HTTP

Collez les en-têtes de réponse bruts ou la sortie de curl -I pour examiner localement les en-têtes de sécurité courants, dont CSP, HSTS et COOP.

Données Sécurité