Handytool
Guide développeur5 min de lectureMis à jour 24 févr. 2026

Utilitaire développeur instantané

Décodez n'importe quel JWT et inspectez ses revendications instantanément

Le décodeur JWT de Handytool divise n'importe quel JSON Web Token en son en-tête, sa charge utile et ses revendications — avec vérification d'expiration et horodatages lisibles — tout dans votre navigateur, sans jamais toucher à un serveur.

Ouvrir Décodeur JWTTous les articles

Points clés

  • 01Décodez n'importe quel JWT et inspectez l'en-tête, la charge utile et les revendications standard en un seul collage.
  • 02Les revendications exp, nbf et iat sont converties en horodatages lisibles avec des étiquettes valide/expiré.
  • 03Le décodage est purement local — sûr pour coller les vrais tokens de production lors du débogage.
  • 04Le décodeur ne vérifie pas les signatures — cela doit se faire côté serveur avec la clé de l'émetteur.

Pourquoi vous avez besoin d'un décodeur JWT

Les JSON Web Tokens ressemblent à du bruit aléatoire jusqu'à ce que vous sachiez qu'ils sont trois segments encodés en Base64URL séparés par des points. Le premier segment est l'en-tête (algorithme et type de token), le second est la charge utile (les revendications : ID utilisateur, rôles, expiration), et le troisième est la signature. Lors du débogage d'un problème d'authentification, d'une session expirée ou d'une intégration OAuth cassée, la première chose à faire est de lire la charge utile.

Le faire manuellement signifie diviser sur les points, décoder Base64URL, puis convertir les horodatages Unix en dates lisibles. Le décodeur JWT de Handytool fait tout cela automatiquement et ajoute des étiquettes de validité sur les revendications temporelles pour que vous puissiez voir en un coup d'œil si un token est toujours actif.

Comment décoder un JWT

  1. 01

    Copiez le JWT

    Récupérez le token depuis les DevTools de votre navigateur (Application > Cookies, ou le panneau Réseau en-tête Authorization), depuis un fichier journal ou depuis votre client API.

  2. 02

    Collez-le dans le décodeur

    Collez le token complet — incluant les trois segments séparés par des points — dans la zone de saisie. Le décodeur identifie les segments automatiquement.

  3. 03

    Lisez l'en-tête et la charge utile

    L'outil divise le token et affiche joliment l'en-tête (algorithme, type) et la charge utile (toutes les revendications) en JSON formaté.

  4. 04

    Vérifiez les revendications temporelles

    Les horodatages Unix exp (expiration), nbf (pas avant) et iat (émis à) sont convertis en dates ISO. Le décodeur étiquette exp en vert (valide) ou rouge (expiré) par rapport à votre heure locale actuelle.

Revendications JWT standard expliquées

Ces noms de revendications enregistrées apparaissent dans la plupart des JWTs.

  • 01iss (Émetteur) — identifie qui a créé le token, généralement une URL ou un nom de service.
  • 02sub (Sujet) — le principal que le token représente, généralement un ID utilisateur.
  • 03aud (Audience) — le(s) destinataire(s) prévu(s) du token ; votre serveur doit rejeter les tokens destinés à d'autres.
  • 04exp (Expiration) — horodatage Unix après lequel le token doit être rejeté.
  • 05nbf (Pas avant) — horodatage Unix avant lequel le token doit être rejeté.
  • 06iat (Émis à) — horodatage Unix quand le token a été créé ; utile pour détecter les tokens obsolètes.

Sûr de coller les vrais tokens lors du débogage

Le décodage JWT se fait entièrement dans votre navigateur en utilisant la fonction native atob et JSON.parse. Rien n'est transmis à aucun serveur — votre token est décodé en mémoire et affiché localement. Vous pouvez coller en toute sécurité les vrais tokens d'accès et tokens de session des environnements de développement ou de staging pour déboguer les flux d'authentification.

Cela dit, traitez les JWTs comme des mots de passe. Ils accordent l'accès à vos systèmes pendant toute leur durée de vie. Ne collez pas les tokens de production des comptes hautement privilégiés dans aucun outil à moins que vous soyez confiant dans les garanties de confidentialité de l'outil — et toujours faire tourner un token si vous pensez qu'il a pu être exposé.

FAQ du décodeur JWT

Qu'est-ce qu'un JWT ?

Un JSON Web Token est un format compact et sûr pour les URL composé de trois segments encodés en Base64URL (en-tête, charge utile, signature) séparés par des points. Les JWTs portent des revendications — des assertions sur un utilisateur ou une session — et sont utilisés pour l'authentification, l'autorisation et l'accès API.

Ce décodeur vérifie-t-il la signature JWT ?

Non. Le décodeur analyse uniquement l'en-tête et la charge utile. La vérification de signature nécessite la clé secrète ou publique de l'émetteur et doit se faire dans le code de votre application en utilisant une bibliothèque de confiance.

Est-il sûr de coller un vrai token d'accès ici ?

Le décodage est entièrement local — le token n'est jamais transmis. Cependant, les JWTs accordent un vrai accès, alors traitez-les comme des mots de passe. Ne les partagez pas, ne les validez pas dans le contrôle de source, et faites-les tourner s'ils ont pu être exposés.

Que signifie la revendication exp ?

exp est l'horodatage d'expiration — un entier Unix représentant le moment où le token cesse d'être valide. Le décodeur le convertit en date ISO lisible et le marque valide ou expiré par rapport à votre heure locale actuelle.

Pourquoi la charge utile JWT est-elle visible sans clé ?

Les charges utiles JWT sont encodées en Base64URL, pas chiffrées. Elles sont conçues pour être lisibles — la signature prouve uniquement l'authenticité, pas la confidentialité. Ne mettez jamais de données vraiment secrètes dans une charge utile JWT à moins d'utiliser le chiffrement JSON Web (JWE).

Le décodeur est-il gratuit ?

Oui. Handytool est gratuit sans inscription, sans limites de débit et sans collecte de données.

Outils connexes

Continuer avec les outils Utilitaire

outils Utilitaire