JWT Decoder
Decode and inspect JSON Web Tokens
Header/payload display
Expiration checking
Timestamp formatting
Copy sections
L'API renvoie un token JWT. Qu'est-ce qu'il contient ? Le token d'authentification ne fonctionne pas — est-il expiré ? Vous déboguez les permissions — quels claims sont inclus ?
Ce décodeur analyse les JSON Web Tokens pour révéler leur contenu sans avoir besoin de la clé secrète. Voyez ce que contiennent vos JWTs instantanément.
Qu'est-ce qu'un JWT ?
Un JSON Web Token (JWT) est un standard ouvert pour transmettre des informations de manière sécurisée entre parties. Il contient trois parties encodées en Base64 : l'en-tête, le payload et la signature.
Structure :
header.payload.signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4ifQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Le décodage révèle le contenu. La vérification confirme l'authenticité avec la clé. N'importe qui peut décoder, seul le serveur peut vérifier.
Pourquoi les Gens ont Besoin de cet Outil
Les JWTs contiennent des informations cruciales : identité utilisateur, permissions, expiration. Les voir aide au débogage.
-
Débogage auth — Comprendre pourquoi l'authentification échoue.
-
Vérification expiration — Voir si le token est encore valide.
-
Inspection permissions — Vérifier les claims de rôle/scope.
-
Développement API — Tester le contenu des tokens.
-
Audit sécurité — Examiner quelles données sont exposées.
-
Apprentissage — Comprendre la structure JWT.
-
Documentation — Montrer le contenu des tokens.
Comment Utiliser le DĂ©codeur JWT
-
Collez le token — Token JWT complet avec les trois parties.
-
Visualisez l'en-tête — Algorithme et type.
-
Visualisez le payload — Claims et données.
-
Vérifiez l'expiration — Dates iat, exp, nbf.
| Claim | Signification | Exemple |
|---|---|---|
| sub | Sujet (ID utilisateur) | "user123" |
| iat | Émis à (timestamp) | 1704067200 |
| exp | Expiration | 1704153600 |
| iss | Émetteur | "auth.exemple.com" |
| aud | Audience | "api.exemple.com" |
Les JWTs sont encodés, pas chiffrés. N'importe qui avec le token peut voir le contenu. Ne jamais inclure de mots de passe ou données sensibles.
Cas d'Utilisation Concrets
1. Le Token Expiré
Contexte : Les requĂŞtes API Ă©chouent soudainement.
Problème : Le token semble valide mais est rejeté.
Solution : Décoder révèle que exp est passé.
Résultat : Rafraîchir le token résout le problème.
2. Les Permissions Manquantes
Contexte : L'utilisateur ne peut pas accéder à une ressource.
Problème : L'authentification réussit mais l'autorisation échoue.
Solution : DĂ©coder montre que le claim role manque.
Résultat : Corriger la génération du token côté serveur.
3. L'Audit de Sécurité
Contexte : Révision de sécurité des tokens de l'application.
Problème : Vérifier quelles données sont exposées dans les tokens.
Solution : Décoder révèle les claims inclus.
Résultat : Identifier et supprimer les données sensibles.
Erreurs Courantes et Comment les Éviter
Confidentialité et Gestion des Données
Ce décodeur fonctionne entièrement dans votre navigateur.
- Aucun token n'est envoyé à un serveur.
- Aucune donnée n'est stockée.
- Aucun compte requis.
- Fonctionne complètement hors ligne.
Vos tokens restent privés.
Conclusion
Les JWTs sont omniprésents dans l'authentification moderne. Pouvoir voir leur contenu est essentiel pour le débogage et la compréhension des systèmes d'auth.
Collez un token, voyez son contenu instantanément.