Handytool
UtilitaireExécuté localement

Décodeur JWT

Décodez les JSON Web Tokens et inspectez leur en-tête, charge utile et revendications — tout dans votre navigateur, jamais envoyé à un serveur.

JWT
0 lignes0 octets
Décodé
0 lignes0 octets

Handytool ne décode que l'en-tête et la charge utile. Les signatures doivent être vérifiées côté serveur avec la clé de l'émetteur.

À propos de Décodeur JWT

Le décodeur JWT de Handytool analyse n'importe quel JSON Web Token dans son en-tête et sa charge utile, met en évidence les revendications standard (iss, sub, aud, iat, exp, nbf) et indique si le token a déjà expiré. Parce que le décodage est purement local, vous pouvez coller les tokens d'accès réels et les tokens de session sans les laisser quitter votre appareil. Utile lors du débogage des flux d'authentification, des intégrations OAuth ou des API tierces qui restituent les JWTs opaquesapparemment.

Fonctionnalités de Décodeur JWT

  • 01

    En-tête, charge utile et revendications en un coup d'œil

    Le décodeur divise votre JWT en ses trois segments, affiche joliment l'en-tête et la charge utile en tant que JSON, et montre les revendications standard — algorithme, sujet, émetteur, audience, émis-à, expiration — dans un résumé compact au-dessus de la sortie brute.

  • 02

    Contrôles d'expiration et de temps

    La revendication exp est traduite en un timestamp ISO et marquée comme valide ou expirée par rapport à votre horloge actuelle. Pareil pour nbf (pas-avant) et iat (émis-à). Plus de conversions manuelles Unix-to-Date.

  • 03

    Décodeur uniquement — jamais téléchargé

    Les tokens sont décodés dans votre navigateur en utilisant atob natif. Rien n'est jamais envoyé à un serveur. Sûr pour coller les JWTs de production, les tokens d'accès API ou les cookies de session lors du débogage.

FAQ Décodeur JWT

Qu'est-ce qu'un JWT ?
Un JSON Web Token est un format de token compact et sûr pour les URLs composé de trois segments codés en Base64URL séparés par des points : un en-tête (algorithme et type), une charge utile (les revendications) et une signature. Les JWTs sont largement utilisés pour l'authentification, l'autorisation et l'accès API de courte durée.
Ce décodeur vérifie-t-il la signature ?
Non. Le décodeur analyse uniquement l'en-tête et la charge utile pour montrer ce qu'il y a à l'intérieur. La vérification de la signature nécessite la clé secrète ou publique de l'émetteur, qui doit rester sur votre serveur — ne la collez jamais dans un outil web. Vérifiez les signatures côté serveur dans votre application.
Est-il sûr de coller un JWT réel ici ?
Le décodage se fait entièrement dans votre navigateur — le token n'est jamais transmis. Cependant, les JWTs ne sont pas chiffrés (n'importe qui avec le token peut lire les revendications), donc traitez-les comme des mots de passe : ne les partagez pas, ne les committez pas et faites-les tourner s'ils fuient.
Pourquoi la signature est-elle affichée mais pas vérifiée ?
La signature est affichée pour que vous puissiez la comparer avec ce que votre serveur produit lors du débogage. La vérification réelle nécessite la clé de signature (secret HMAC ou clé publique RSA/EC), à laquelle le décodeur n'a pas accès et ne devrait pas avoir.
Qu'est-ce que « exp » signifie ?
exp est la revendication d'expiration — un timestamp Unix après lequel le token doit être rejeté. Le décodeur le convertit en un timestamp ISO et affiche une étiquette verte s'il est toujours dans le futur, ou une étiquette rouge si le token a déjà expiré.

Outils liés

Utilitaire

Explorez d'autres outils

Tous les outils