Décodeur JWT
Décodez les en-têtes et les charges utiles JWT localement dans votre navigateur. Inspectez les revendications, l'expiration, l'émetteur et les horodatages sans envoyer de jetons ailleurs.
Qu'est-ce qu'un décodeur JWT ?
Le décodeur JWT analyse les JSON Web Tokens (RFC 7519) et affiche l'en-tête et la charge utile sous forme de JSON lisible. Les JWT sont le format de jeton porteur standard pour OAuth 2.0, OpenID Connect et la plupart des systèmes d'authentification modernes. Chaque jeton contient des revendications encodées en Base64URL — émetteur (iss), sujet (sub), audience (aud), expiration (exp) et champs personnalisés — qui contrôlent les décisions d'accès dans votre application. Ce décodeur extrait et formate ces revendications localement dans votre navigateur, met en évidence les horodatages d'expiration sous une forme lisible et signale si le jeton est actuellement valide. Il ne vérifie pas les signatures, ce qui le rend sûr pour une inspection rapide sans importer de clés ou de certificats.
Comment utiliser le décodeur JWT
Collez un JWT complet (les trois segments Base64URL séparés par des points) dans le champ d'entrée et cliquez sur « Décoder JWT ». L'outil divise le jeton en sections d'en-tête et de charge utile, décode chacune depuis Base64URL et les affiche sous forme de JSON formaté. Les revendications enregistrées comme exp, iat et nbf sont converties en dates lisibles. L'indicateur de statut montre si le jeton est expiré, pas encore valide ou actuellement actif. Copiez les sections individuelles ou la sortie décodée complète. Note : la vérification de signature est intentionnellement omise — c'est un outil d'inspection, pas une bibliothèque d'authentification.
Pourquoi l'inspection JWT compte
Lorsqu'un utilisateur signale un échec d'autorisation, la première étape de débogage est d'inspecter le jeton qu'il a envoyé. Est-il expiré ? La revendication d'audience correspond-elle à l'API ? L'émetteur est-il correct ? Sans décodeur local, les développeurs collent les jetons dans des outils en ligne qui peuvent enregistrer ou stocker — un risque de sécurité sérieux pour les jetons de production contenant des identifiants utilisateur et des autorisations. Le décodage JWT local est essentiel pendant l'intégration OAuth, la configuration de la passerelle d'API et le triage d'incidents. Il aide également les ingénieurs QA à vérifier que les durées de vie des jetons, les portées et les revendications personnalisées correspondent à la spécification avant de valider une version.
Questions fréquemment posées
Cet outil vérifie-t-il la signature du JWT ?
Non. Cette page ne fait que décoder l'en-tête et la charge utile localement. Elle ne valide pas les signatures ni ne fait confiance au jeton.
Pourquoi utiliser ceci plutôt que jwt.io ?
TeaFun met l'accent sur un décodage axé sur la confidentialité. Votre jeton reste dans votre navigateur et n'est jamais téléversé pour traitement.
Quels horodatages sont affichés ?
S'ils sont présents, exp, iat et nbf sont convertis des horodatages Unix en dates ISO lisibles.
Utiliser cet outil dans un flux plus large
Ces collections regroupent les outils et guides qui reviennent souvent dans le même travail.
Parcourir les mêmes tags
Passez à d'autres outils qui partagent le même flux, format ou cas d'usage.