JWT Decoder — Décoder et analyser un token JWT
Collez un JWT (souvent Authorization: Bearer …) : décodage instantané du header et du payload en JSON, lecture des dates
iat / exp / nbf, alertes d’expiration. Aucune librairie externe, tout reste dans votre navigateur.
Décodage JWT
Aucune requête réseau, aucune librairie CDN. La signature affichée n’est pas vérifiée (clé ou certificat requis selon l’algorithme).
Décodage instantané · Ctrl+V ou ⌘+V
🔵 Header
🟣 Payload
🔴 Signature
Non vérifiée — clé secrète ou clé publique requise selon l’algorithme (HS256, RS256, etc.).
Visualisation
Comment ça marche
- Un JWT se compose de trois segments en Base64url séparés par des points : header, payload, signature.
- Le header et le payload sont du JSON encodé ; ils sont décodés et reformatés pour la lecture.
- Les champs
iat,exp,nbf(nombres entiers, secondes depuis 1970) sont traduits en date/heure locale FR et EN. - La signature n’est pas validée ici : sans la clé partagée ou la matérialisation des clés asymétriques, seule la présence du segment est affichée.
Questions fréquentes
- Comment décoder un token JWT ?
- Collez la chaîne complète dans le champ : le décodage Base64url du header et du payload est automatique. Les espaces et retours à la ligne superflus sont ignorés.
- Un JWT décodé est-il sécurisé ?
- Le traitement est local à votre navigateur sur cette page. Ne collez pas de jetons de production dans un environnement non maîtrisé ; le payload peut contenir des données sensibles.
- Comment vérifier l’expiration d’un JWT ?
- Si le claim
expest présent, comparez-le à l’heure actuelle : l’outil l’indique en toutes lettres et dans les alertes. - Quelle différence entre JWT et session cookie ?
- Une session serveur garde souvent l’état côté application ; un JWT porte des informations dans le payload et peut circuler sans session stockée, au prix d’une révocation plus délicate.