JWT Decoder — Décoder et analyser un token JWT

Collez un JWT (souvent Authorization: Bearer …) : décodage instantané du header et du payload en JSON, lecture des dates iat / exp / nbf, alertes d’expiration. Aucune librairie externe, tout reste dans votre navigateur.

Décodage JWT

Aucune requête réseau, aucune librairie CDN. La signature affichée n’est pas vérifiée (clé ou certificat requis selon l’algorithme).

Décodage instantané · Ctrl+V ou +V

Essayer un jeton :

Comment ça marche

  1. Un JWT se compose de trois segments en Base64url séparés par des points : header, payload, signature.
  2. Le header et le payload sont du JSON encodé ; ils sont décodés et reformatés pour la lecture.
  3. Les champs iat, exp, nbf (nombres entiers, secondes depuis 1970) sont traduits en date/heure locale FR et EN.
  4. La signature n’est pas validée ici : sans la clé partagée ou la matérialisation des clés asymétriques, seule la présence du segment est affichée.

Questions fréquentes

Comment décoder un token JWT ?
Collez la chaîne complète dans le champ : le décodage Base64url du header et du payload est automatique. Les espaces et retours à la ligne superflus sont ignorés.
Un JWT décodé est-il sécurisé ?
Le traitement est local à votre navigateur sur cette page. Ne collez pas de jetons de production dans un environnement non maîtrisé ; le payload peut contenir des données sensibles.
Comment vérifier l’expiration d’un JWT ?
Si le claim exp est présent, comparez-le à l’heure actuelle : l’outil l’indique en toutes lettres et dans les alertes.
Quelle différence entre JWT et session cookie ?
Une session serveur garde souvent l’état côté application ; un JWT porte des informations dans le payload et peut circuler sans session stockée, au prix d’une révocation plus délicate.