À propos de cet outil
Décode un JSON Web Token et affiche l'en-tête, le payload, les claims et l'état de validité. Utile pour déboguer l'authentification, comprendre quelles données une application transmet dans un jeton, vérifier si un jeton a expiré, ou simplement voir ce qui se trouve dans cette longue chaîne apparue dans vos cookies.
Comment l'utiliser
- Collez le JWT dans le champ d'entrée.
- Voyez l'en-tête avec l'algorithme et le type, et le payload avec les claims.
- Vérifiez l'état : le jeton est-il expiré, pas encore valide, ou dans la plage.
- Inspectez les claims standard (iss, sub, exp, iat) et personnalisées.
Questions fréquentes
- Le décodage vérifie-t-il la signature ?
- Non. Les JWTs sont signés, pas chiffrés. Cet outil décode l'en-tête et le payload (qui sont du Base64 simple) sans avoir besoin de la clé secrète. Pour vérifier la signature, vous avez besoin de la clé utilisée par l'émetteur, et cette clé ne fait pas partie du jeton. Le décodage sert à inspecter le contenu, pas à valider l'authenticité.
- Puis-je lire des claims sensibles dans un JWT ?
- Oui, et il est important de le savoir : le payload d'un JWT est en texte clair (Base64), pas chiffré. Quiconque a accès au jeton peut lire tout son contenu. Ne placez pas de mots de passe, numéros de carte ou données personnelles sensibles dans un JWT, même s'il est signé.
- Quelles claims sont standard ?
- iss (issuer, qui a émis), sub (subject, à qui cela se réfère), aud (audience, pour qui c'est), exp (expiration, moment d'expiration), nbf (not before, avant ce moment ce n'est pas valide), iat (issued at, quand cela a été émis), jti (identifiant unique du jeton). D'autres claims peuvent être spécifiques à l'application.