OnSubmit Outils gratuits et rapides
FR
English English EN Français Français FR Español Spanish ES Deutsch German DE Italiano Italian IT
Rechercher
Développement · outil gratuit

Décodeur et encodeur JWT gratuit en ligne

Décoder, inspecter et régénérer un JWT HS256 de test. Vos données restent dans votre navigateur dès que le traitement le permet.

Utiliser l’outil Lire la FAQ

Votre outil

JWT Decoder / Encoder

À savoir

Un JWT, ou JSON Web Token, est un jeton composé d'un header, d'un payload et d'une signature. Un décodeur JWT lit ses claims ; un encodeur JWT permet de régénérer un token de test à partir d'un header et d'un payload.

jwtjwt encoderjwt decodertokenjson web token

Comprendre

Guide de l’outil : JWT Decoder / Encoder

Définition et usage principal

Un JWT, ou JSON Web Token, est un jeton composé d'un header, d'un payload et d'une signature. Un décodeur JWT lit ses claims ; un encodeur JWT permet de régénérer un token de test à partir d'un header et d'un payload.

Intention principale: Décoder un token JWT, inspecter ses claims, modifier un payload de test ou régénérer un JWT HS256 pendant un debug API.

Décoder et encoder un JSON Web Token (JWT)

Un JWT (JSON Web Token) est un jeton compact utilisé pour transporter des informations signées entre deux parties (authentification, autorisation, sessions).

Un outil JWT affiche le header et le payload pour vérifier les champs (sub, aud, exp), puis peut régénérer un token de test lorsque le header, le payload et le secret sont fournis.

Décodage vs vérification de signature

Décoder un JWT ne prouve pas qu’il est valide : la validité dépend de la signature et de la clé (secret ou clé publique).

  • inspecter exp pour vérifier la date d’expiration
  • contrôler iss/aud pour éviter un token d’un autre environnement
  • utiliser un mode “verify” si tu as la clé et l’algorithme

Cas d’usage courants

Debug API
Lire les claims sub, aud, exp, iss ou scope envoyés à une API.
Authentification
Comprendre un token issu d'OAuth, OpenID Connect ou d'un backend maison.
Encoder un JWT de test
Modifier le header ou le payload puis régénérer une signature HS256 avec un secret de test.
Support technique
Identifier rapidement un token expiré ou mal formé.

Comment utiliser l’outil

  1. Collez le JWT dans le champ token.
  2. Lisez le header et le payload décodés.
  3. Modifiez éventuellement les claims de test.
  4. Ajoutez un secret de test si vous voulez signer en HS256.
  5. Regénérez le token pour copier un JWT encodé.

Bonnes pratiques

  • Ne jamais coller de token de production contenant des données sensibles.
  • Vérifier l'expiration exp et l'audience aud.
  • Ne pas confondre décodage et vérification de signature.
  • Utiliser des clés fortes pour les tokens signés.

Erreurs fréquentes

Croire que le payload est chiffré
Un JWT signé est encodé, pas chiffré. Son contenu peut être lu par toute personne qui possède le token.
Ignorer exp
Un token expiré peut être lisible mais ne doit plus être accepté.
Confondre decode et verify
Décoder affiche le contenu ; vérifier prouve que la signature correspond à une clé.

Termes et recherches liés

JWTJSON Web TokenJWT encoderJWT decoderheaderpayloadsignatureclaimsHS256Base64URLOAuthOpenID ConnectAPIdécodeur jwtjwt encoderjwt decoder gratuitencode jwt onlineinspecter json web token

FAQ

Questions fréquentes

Que fait un décodeur JWT ?

Il sépare le token en header, payload et signature, puis affiche les parties JSON lisibles pour faciliter le diagnostic.

Que fait un JWT encoder ?

Un JWT encoder construit ou régénère un JSON Web Token à partir d'un header, d'un payload et d'une méthode de signature. Sur OnSubmit, l'encodage de test se fait en HS256 avec un secret fourni.

Un JWT est-il chiffré ?

Un JWT classique est encodé en Base64URL et signé, mais il n'est pas chiffré. Les claims ne doivent pas contenir de secrets.

Que signifie le claim exp dans un JWT ?

exp indique la date d'expiration du token, généralement sous forme de timestamp Unix.

Quelle est la différence entre HS256 et RS256 ?

HS256 utilise un secret partagé, tandis que RS256 utilise une paire clé privée/clé publique.

Peut-on signer un JWT RS256 avec cet outil ?

Non. L'outil est prévu pour lire les JWT et régénérer des tokens HS256 de test. Les signatures RS256 doivent être générées avec une clé privée dans un environnement adapté.

Pourquoi mon JWT est-il invalide ?

Le token peut être incomplet, mal encodé, expiré, signé avec une autre clé ou modifié après signature.

Le décodeur JWT est-il gratuit ?

Oui. Le décodeur JWT est utilisable gratuitement sur OnSubmit, sans création de compte et sans installation de logiciel.

Faut-il créer un compte pour utiliser le décodeur JWT ?

Non. L'outil s'ouvre directement dans le navigateur pour permettre un usage rapide pendant le développement, les tests, la rédaction ou la préparation de documents.

Les données saisies dans le décodeur JWT sont-elles envoyées sur un serveur ?

Quand le traitement est compatible avec le navigateur, les données restent sur votre appareil. Les pages OnSubmit privilégient les traitements locaux pour les usages de test, de validation et de conversion.