Un souci avec cet outil ?
À propos de « Décoder Un JWT En Ligne »
Cet outil décode un JSON Web Token (JWT) en ses trois parties : header, payload et signature. Collez un token issu de votre flux d'auth, d'un en-tête Authorization ou d'un cookie ; l'outil retourne le JSON parsé du header et du payload, plus les octets bruts de la signature.
Les JWT servent à l'authentification, la gestion des sessions et l'autorisation d'API. Décoder (sans vérifier) montre les données du token : ID utilisateur, expiration, scopes, claims personnalisés — utile pour déboguer.
Important : l'outil décode mais ne vérifie pas les signatures. Le contenu n'est qu'une déclaration de l'émetteur. La vérification doit se faire côté serveur avec la clé publique.
Comment utiliser cet outil
Inspecter l’en-tête et le payload d’un JSON Web Token
Coller le JWT
Mettez le token dans « Token ». Un JWT ressemble à `xxx.yyy.zzz` — trois segments base64url séparés par des points. L’outil découpe sur les points et décode les deux premiers.
Exécuter
Résultat : `header` (algorithme et type, ex. `{ "alg": "HS256", "typ": "JWT" }`) et `payload` (vos claims — `sub`, `exp`, `iat`, plus spécifiques). Le troisième segment (signature) N’est NI vérifié NI affiché.
Ce que ce n’est pas
Décoder ≠ vérifier. Quiconque possède le token lit le payload ; ce qui prouve l’authenticité c’est la signature, qui requiert la clé. Ne faites pas confiance aux tokens non vérifiés — utilisez jwt-encoder ou votre librairie auth côté serveur.
Claims utiles à vérifier
`exp` est un timestamp Unix — un token expiré ne doit pas être accepté même si la signature est bonne. `iss` doit correspondre à l’émetteur attendu ; `aud` à votre service. Si le payload semble OK mais l’auth échoue, c’est la signature qui est en cause.