Décodeur JWT
Inspectez un jeton avant de poursuivre le mauvais bug d'auth. Décodez headers, claims, algorithmes, signatures et état d'expiration.
Jeton encodé
Sortie décodée
Qu'est-ce qu'un JWT ?
JSON Web Token est un format compact pour transporter des claims entre systèmes. En débogage quotidien, les questions utiles sont souvent simples : qui a émis le jeton, pour qui, quelles permissions il annonce, quel algorithme l'a signé et est-il expiré ?
Header
Affiche les métadonnées du jeton comme typ, alg et parfois kid, qui pointe vers la clé utilisée par l'émetteur.
Payload
Contient des claims comme sub, iss, aud, exp, iat, rôles, identifiants de tenant ou données d'autorisation propres à l'application.
Signature
Protège le jeton contre l'altération quand le serveur le vérifie avec le secret ou la clé publique attendue.
Expiration
Le claim exp est souvent l'indice le plus rapide en débogage auth. Un jeton bien formé est inutile s'il est déjà hors de sa fenêtre de validité.
FAQ JWT
Les JWT sont-ils chiffrés ?
Généralement non. Les JWT standards sont encodés, pas chiffrés : toute personne qui possède le jeton peut inspecter header et payload. La signature protège seulement l'intégrité.
Décoder un JWT vérifie-t-il qu'il est fiable ?
Non. Le décodage révèle seulement le contenu. La confiance demande une vérification de signature avec le secret ou la clé publique attendue, puis des contrôles issuer, audience, expiration et règles applicatives.
Que se passe-t-il quand un token expire ?
Si le claim exp est dans le passé, le serveur doit rejeter le jeton et le client doit se réauthentifier ou demander un nouveau jeton via le bon flux de renouvellement.
Dois-je coller des tokens de production dans un décodeur ?
Traitez les jetons actifs comme des identifiants. Utilisez si possible des jetons de test courts et évitez de coller des accès de production sensibles dans un outil que vous ne contrôlez pas.