Pourquoi ne vérifiez-vous pas les signatures ?

Vérifier une signature requiert le secret ou la clé publique. Coller un secret sur un site web est exactement le mauvais modèle de menace - gardez-le sur votre serveur.

Les tokens sont-ils stockés ?

Non. Le décodage tourne dans votre navigateur ; nous n'envoyons jamais le token sur le réseau.

Décodeur JWT

Décodez et inspectez des JSON Web Tokens localement.

Fonctionne dans votre navigateur

Collez un JWT pour afficher en-tête et payload. Les dates d'émission et d'expiration sont rendues lisibles. Nous ne vérifions pas les signatures - conservez votre secret sur votre serveur.

JWT

En-tête

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "Arnaud",
  "iat": 1516239022
}

Claims standard

Sujet: 1234567890
Émis le: 2018-01-18 01:30:22 UTC

Comment l'utiliser

Collez le JWT
Token complet en trois parties (header.payload.signature). Un exemple est préchargé pour explorer la structure.
Lisez header et payload
Le JSON décodé apparaît côte à côte. Les claims standard (iss, sub, exp, iat) sont formatés en dates et libellés lisibles.
Vérifiez l'expiration
Regardez si `exp` est passé - c'est de loin la cause la plus fréquente du rejet.

Qu'est-ce que c'est ?

Un JSON Web Token (JWT) est trois chaînes Base64 URL-safe séparées par des points : un en-tête (algorithme, type), un payload (les claims - qui, quand, droits), et une signature. Un décodeur JWT scinde et Base64-décode les deux premiers segments. Il NE vérifie PAS la signature - cela exige le secret.

Quand l'utiliser

Inspecter un JWT en debug d'un flux d'authentification : pour qui, expiration, scopes, émetteur. Utile aux support engineers, reviewers sécurité et devs sur OAuth/OpenID. Toujours vérifier `exp` face à l'heure courante quand une requête est rejetée.

Erreurs courantes

Ne collez pas de tokens production sur des sites non fiables - le payload peut contenir identifiants, emails ou scopes. Ne confondez pas JWT et chiffrement : le payload est juste du Base64, lisible par tous. Et la signature exige la clé de l'émetteur - ne faites jamais confiance à un JWT sans vérifier la signature côté serveur.

FAQ

Pourquoi ne vérifiez-vous pas les signatures ?: Vérifier une signature requiert le secret ou la clé publique. Coller un secret sur un site web est exactement le mauvais modèle de menace - gardez-le sur votre serveur.
Les tokens sont-ils stockés ?: Non. Le décodage tourne dans votre navigateur ; nous n'envoyons jamais le token sur le réseau.

Encodeur / Décodeur Base64

Encodez et décodez des chaînes Base64 (texte et fichiers).

Formateur et validateur JSON

Formate, minifie et valide du JSON instantanément.

Encodeur / Décodeur d'URL

Encodez et décodez URLs et chaînes de requête (percent-encoding).