OnSubmit Outils gratuits et rapides
FR
English English EN Français Français FR Español Spanish ES Deutsch German DE Italiano Italian IT
Rechercher
Développement · outil gratuit

Décodeur JWT gratuit en ligne

Décoder et inspecter vos JSON Web Tokens. Vos données restent dans votre navigateur dès que le traitement le permet.

Utiliser l’outil Lire la FAQ

Votre outil

JWT

À savoir

Un JWT, ou JSON Web Token, est un jeton composé d'un header, d'un payload et d'une signature. Il transporte des claims utilisés par les API et systèmes d'authentification.

jwttokenjson web tokendécodeur jwtjwt decoder gratuit

Comprendre

Guide de l’outil : JWT

Définition et usage principal

Un JWT, ou JSON Web Token, est un jeton composé d'un header, d'un payload et d'une signature. Il transporte des claims utilisés par les API et systèmes d'authentification.

Intention principale: Décoder un token JWT pour inspecter ses claims, vérifier sa structure et comprendre son contenu pendant un debug API.

Décoder un JSON Web Token (JWT)

Un JWT (JSON Web Token) est un jeton compact utilisé pour transporter des informations signées entre deux parties (authentification, autorisation, sessions).

Un outil de décodage affiche le header et le payload pour vérifier les champs (sub, aud, exp) sans modifier le token.

Décodage vs vérification de signature

Décoder un JWT ne prouve pas qu’il est valide : la validité dépend de la signature et de la clé (secret ou clé publique).

  • inspecter exp pour vérifier la date d’expiration
  • contrôler iss/aud pour éviter un token d’un autre environnement
  • utiliser un mode “verify” si tu as la clé et l’algorithme

Cas d’usage courants

Debug API
Lire les claims sub, aud, exp, iss ou scope envoyés à une API.
Authentification
Comprendre un token issu d'OAuth, OpenID Connect ou d'un backend maison.
Tests de signature
Regénérer un token HS256 de test avec un secret connu.
Support technique
Identifier rapidement un token expiré ou mal formé.

Comment utiliser l’outil

  1. Collez le JWT dans le champ token.
  2. Lisez le header et le payload décodés.
  3. Modifiez éventuellement les claims de test.
  4. Regénérez une signature HS256 si vous disposez du secret adapté.

Bonnes pratiques

  • Ne jamais coller de token de production contenant des données sensibles.
  • Vérifier l'expiration exp et l'audience aud.
  • Ne pas confondre décodage et vérification de signature.
  • Utiliser des clés fortes pour les tokens signés.

Erreurs fréquentes

Croire que le payload est chiffré
Un JWT signé est encodé, pas chiffré. Son contenu peut être lu par toute personne qui possède le token.
Ignorer exp
Un token expiré peut être lisible mais ne doit plus être accepté.
Confondre decode et verify
Décoder affiche le contenu ; vérifier prouve que la signature correspond à une clé.

Termes et recherches liés

JWTJSON Web TokenheaderpayloadsignatureclaimsHS256OAuthOpenID ConnectAPIdécodeur jwtjwt decoder gratuitinspecter json web tokenjwt payloadvérifier jwt hs256

Continuer avec

Suggestions choisies pour le même workflow : validation, génération, conversion, données de test ou préparation de contenu.

Développement Claims JSON Beautifier Formater le header et le payload JSON d’un token. Continuer Texte Base64URL Texte ⇄ Base64 Comprendre l’encodage utilisé dans les trois segments JWT. Continuer Développement Expiration Timestamp Converter Convertir les claims exp, iat ou nbf en dates lisibles. Continuer Développement Callback URL Encoder / Decoder Inspecter un token passé dans une URL ou une redirection. Continuer

FAQ

Questions fréquentes

Que fait un décodeur JWT ?

Il sépare le token en header, payload et signature, puis affiche les parties JSON lisibles pour faciliter le diagnostic.

Un JWT est-il chiffré ?

Un JWT classique est encodé en Base64URL et signé, mais il n'est pas chiffré. Les claims ne doivent pas contenir de secrets.

Que signifie le claim exp dans un JWT ?

exp indique la date d'expiration du token, généralement sous forme de timestamp Unix.

Quelle est la différence entre HS256 et RS256 ?

HS256 utilise un secret partagé, tandis que RS256 utilise une paire clé privée/clé publique.

Pourquoi mon JWT est-il invalide ?

Le token peut être incomplet, mal encodé, expiré, signé avec une autre clé ou modifié après signature.

Le décodeur JWT est-il gratuit ?

Oui. Le décodeur JWT est utilisable gratuitement sur OnSubmit, sans création de compte et sans installation de logiciel.

Faut-il créer un compte pour utiliser le décodeur JWT ?

Non. L'outil s'ouvre directement dans le navigateur pour permettre un usage rapide pendant le développement, les tests, la rédaction ou la préparation de documents.

Les données saisies dans le décodeur JWT sont-elles envoyées sur un serveur ?

Quand le traitement est compatible avec le navigateur, les données restent sur votre appareil. Les pages OnSubmit privilégient les traitements locaux pour les usages de test, de validation et de conversion.