Analyseur JWT
Décoder et afficher l'en-tête, le payload et la signature d'un JWT. Décodage uniquement, pas de vérification de signature.
JWT0
À proposOutil en ligne gratuit pour décoder les JWT. Collez un JWT pour voir l'en-tête (algorithme, type) et le payload (claims : sub, exp, iat) en JSON. La signature est affichée en Base64URL. Tout est traité dans le navigateur ; aucun envoi au serveur. Cet outil ne vérifie pas les signatures—à utiliser pour débogage et inspection uniquement.
UtilisationCollez votre JWT dans la zone de saisie (avec ou sans préfixe "Bearer "), puis cliquez sur "Décoder". L'en-tête et le payload s'affichent en JSON formaté. Vous pouvez copier chaque partie. Si le token est invalide, un message d'erreur s'affiche.
Qu'est-ce qu'un JWT ?Le JWT (JSON Web Token) est un format compact et sûr pour URL qui représente des claims entre deux parties. Il est souvent utilisé pour l'authentification et l'autorisation : après connexion, le serveur émet un JWT que le client envoie avec les requêtes suivantes. Le serveur peut vérifier le token pour identifier l'utilisateur sans garder d'état de session.Structure du JWTUn JWT comporte trois parties séparées par des points : Header.Payload.Signature. Chaque partie est encodée en Base64URL. L'en-tête contient généralement l'algorithme (ex. HS256, RS256) et le type (JWT). Le payload contient les claims (ex. id utilisateur, expiration). La signature est calculée à partir de l'en-tête et du payload avec un secret ou une clé privée pour éviter la falsification.Claims courantssub (sujet) : souvent l'ID utilisateur. exp (expiration) : timestamp Unix d'expiration. iat (issued at) : timestamp Unix d'émission. Autres claims personnalisés possibles (rôles, email). Cet outil affiche iat et exp en heure lisible lorsqu'ils sont présents.SécuritéCet outil ne fait que décoder le token ; il ne vérifie pas la signature. N'importe qui peut décoder un JWT et lire le payload—les JWT ne sont pas chiffrés. Ne mettez jamais de données sensibles (ex. mots de passe) dans le payload. Vérifiez toujours la signature côté serveur avant de faire confiance à un token.