Décodeur JWT

Ce décodeur JWT permet de dévoiler le contenu d'un token JWT (divisé en 3 parties : header, payload, signature). Le décodage s'effectue intégralement dans votre navigateur, aucune donnée n'est envoyée à un serveur.

Besoin d'aide pour utiliser cet outil ?

Collez votre token JWT dans le champ de saisie. Le décodage est instantané et s'effectue entièrement dans votre navigateur : aucune donnée n'est transmise à un serveur, garantissant la confidentialité de vos tokens.

Montrez moi un exemple !

Décodeur JWT

Collez votre token JWT :

Le décodage s'effectue entièrement dans votre navigateur. Aucune donnée n'est envoyée à un serveur.

Qu'est-ce qu'un token JWT ?

Un JWT (JSON Web Token) est un standard ouvert (RFC 7519) qui définit un moyen compact et autonome de transmettre des informations de manière sécurisée entre deux parties sous forme d'objet JSON. Ces informations peuvent être vérifiées et approuvées car elles sont signées numériquement.

Structure d'un token JWT

Un JWT est composé de trois parties séparées par des points (.) :

                HEADER.PAYLOAD.SIGNATURE
            

1. Header (en-tête)

Le header contient généralement le type de token (JWT) et l'algorithme de signature utilisé (par exemple HMAC SHA256 ou RSA).

{
  "alg": "HS256",
  "typ": "JWT"
}

2. Payload (charge utile)

Le payload contient les claims (revendications), c'est-à-dire les informations sur l'utilisateur ou les métadonnées du token.

{
  "sub": "1234567890",
  "name": "John",
  "iat": 1516239022
}

3. Signature

La signature est créée en encodant le header et le payload, puis en les signant avec une clé secrète ou une paire de clés publique/privée.

HMACSHA256(
  base64UrlEncode(header)
  + "."
  + base64UrlEncode(payload),
  secret
)

Les claims standards du payload

Claim	Nom complet	Description
`iss`	Issuer	Émetteur du token
`sub`	Subject	Sujet du token (souvent l'identifiant utilisateur)
`aud`	Audience	Destinataire du token
`exp`	Expiration Time	Date d'expiration du token (timestamp UNIX)
`nbf`	Not Before	Date avant laquelle le token n'est pas valide
`iat`	Issued At	Date de création du token
`jti`	JWT ID	Identifiant unique du token

Claim

Nom complet

Description

iss

Issuer

Émetteur du token

sub

Subject

Sujet du token (souvent l'identifiant utilisateur)

aud

Audience

Destinataire du token

exp

Expiration Time

Date d'expiration du token (timestamp UNIX)

nbf

Not Before

Date avant laquelle le token n'est pas valide

iat

Issued At

Date de création du token

jti

JWT ID

Identifiant unique du token

Cas d'usage courants

Authentification : Après la connexion, un JWT est renvoyé à l'utilisateur. Chaque requête suivante inclut le JWT, permettant d'accéder aux ressources autorisées.

Échange d'informations : Les JWT permettent de transmettre des informations de manière sécurisée entre parties, grâce à la signature qui garantit l'intégrité des données.

Autorisation (OAuth 2.0) : Les tokens d'accès OAuth sont souvent au format JWT.

Single Sign-On (SSO) : Les JWT facilitent l'authentification unique entre plusieurs applications.

Algorithmes de signature courants

Algorithme	Type	Description
HS256	Symétrique	HMAC avec SHA-256, le plus courant
HS384	Symétrique	HMAC avec SHA-384
HS512	Symétrique	HMAC avec SHA-512
RS256	Asymétrique	RSA avec SHA-256
ES256	Asymétrique	ECDSA avec courbe P-256

Algorithme

Type

Description

HS256

Symétrique

HMAC avec SHA-256, le plus courant

HS384

Symétrique

HMAC avec SHA-384

HS512

Symétrique

HMAC avec SHA-512

RS256

Asymétrique

RSA avec SHA-256

ES256

Asymétrique

ECDSA avec courbe P-256

Bonnes pratiques de sécurité

Ne stockez jamais de données sensibles dans le payload (mots de passe, clés API). Le payload est simplement encodé en Base64, pas chiffré.

Utilisez toujours HTTPS pour transmettre les tokens.

Définissez une durée d'expiration (claim exp) raisonnable.

Validez toujours la signature côté serveur avant d'utiliser les données du token.

Utilisez des algorithmes robustes (RS256 ou ES256 en production).

Astuce : Cet outil décode le JWT entièrement dans votre navigateur. Aucune donnée n'est envoyée vers un serveur, vous pouvez donc l'utiliser en toute confiance avec vos tokens de production.

Je cherche un outil pour...

Décodeur JWT

Besoin d'aide pour utiliser cet outil ?

Qu'est-ce qu'un token JWT ?

Structure d'un token JWT

1. Header (en-tête)

2. Payload (charge utile)

3. Signature

Les claims standards du payload

Cas d'usage courants

Algorithmes de signature courants

Bonnes pratiques de sécurité