Vérifie-t-il la signature ?

Non. Vérifier une signature JWT nécessite la clé secrète ou publique. Cet outil décode uniquement le header et le payload pour vous permettre de les lire.

Est-il sûr de coller mon token ici ?

Le décodage s'effectue entièrement dans votre navigateur et le token n'est jamais envoyé. Toutefois, évitez de coller des tokens réels et sensibles sur un ordinateur partagé ou public.

Qu'est-ce que le claim exp ?

exp est l'heure d'expiration sous forme de timestamp UNIX (secondes). S'il est dans le passé, le token a expiré. Cet outil l'affiche en heure locale.

Que se passe-t-il si le token est invalide ?

Si le token n'est pas un JWT valide ou si ses parties ne sont pas du JSON Base64URL correct, un message d'erreur s'affiche à la place du résultat.

Dois-je garder mon JWT secret ?

Oui. Toute personne possédant le token peut lire son payload et pourrait l'utiliser jusqu'à son expiration ; traitez donc les tokens comme des mots de passe.

Décodeur JWT

JWT

Votre token est décodé dans le navigateur et n'est jamais envoyé nulle part.

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1900000000
}

Claims de temps (heure locale)

exp17 mars 2030, 17:46:40
iat18 janv. 2018, 01:30:22

Cet outil décode uniquement le token ; il ne vérifie pas la signature, ce qui nécessite la clé secrète ou publique.

Outils externes associés

Certains liens sont des liens d'affiliation.

JetBrainsUne société d'outils pour développeurs derrière des IDEs populaires comme IntelliJ IDEA, WebStorm, PyCharm et Rider. Reconnue pour son intelligence de code approfondie, son support de refactorisation et ses outils de débogage intégrés. Propose un abonnement All Products Pack.AmazonLe plus grand marché en ligne mondial pour les achats, l'électronique, les livres, les logiciels et plus encore. La livraison rapide, les retours faciles et le vaste catalogue de produits en font le choix privilégié pour les achats quotidiens. L'abonnement Prime ajoute le streaming, la livraison gratuite et des offres exclusives.

Outils associés

Formateur JSONFormatez, minifiez et validez du JSON en ligne gratuitement. JSON cassé ? Affiche exactement la ligne et la colonne de l'erreur avec surlignage. Rien n'est envoyé.Base64 Encoder / DécoderEncodez du texte en Base64 ou décodez du Base64 instantanément — accents et emojis sans erreur (UTF-8), Base64 sûr pour URL, image en data URL. Tout dans le navigateur.JSON vers TypeScriptCollez du JSON et obtenez des interfaces ou types TypeScript : objets imbriqués, tableaux fusionnés, champs optionnels ou nullables. Dans votre navigateur.Encodeur / Décodeur d’URLEncodez ou décodez du texte et des URL complètes, basculez entre mode composant et URL complète, et décomposez une chaîne de requête en paires clé/valeur. Dans votre navigateur.

Collez un JSON Web Token (JWT) pour lire instantanément son header et son payload en JSON formaté. Les claims de temps tels que l'expiration et la date d'émission s'affichent en heure locale, et vous voyez d'un coup d'œil si le token a expiré. Le décodage s'effectue entièrement dans votre navigateur — votre token n'est jamais envoyé.

Comment l'utiliser

Collez votre JWT dans le champ (les trois parties séparées par des points).
Lisez le header et le payload décodés en JSON formaté ci-dessous.
Vérifiez les claims de temps et le statut d'expiration, puis copiez ce dont vous avez besoin.

Fonctionnement

Un JWT comporte trois parties séparées par des points : header.payload.signature. Le header et le payload sont du JSON encodé en Base64URL, donc ils peuvent être décodés par n'importe qui — ils ne sont pas chiffrés. La signature prouve que le token n'a pas été altéré, mais la vérifier nécessite la clé secrète ou publique ; cet outil décode uniquement et ne vérifie jamais la signature.

Fonctionnalités

Header et payload

Les deux parties sont décodées et affichées en JSON lisible et formaté.

Temps lisibles

Les claims comme exp, iat et nbf s'affichent en date et heure locale, pas en chiffres bruts.

Vérification d'expiration

Un badge clair indique si le token est encore valide ou s'il a expiré.

Copie en un clic

Copiez le JSON du header ou du payload dans le presse-papiers en un clic.

Entièrement local

Votre token est décodé dans le navigateur et n'est jamais envoyé à un serveur.

Quand l'utiliser

Débogage d'API

Inspectez les claims d'un token lors du test d'un endpoint d'API protégé.

Résolution de problèmes d'authentification

Vérifiez le sujet, les rôles et l'expiration lorsqu'une connexion ou une session se comporte de manière inattendue.

Inspecter un token

Voyez rapidement quelles données un JWT transporte sans écrire de code.

Apprentissage

Explorez la structure des JWT pour comprendre le fonctionnement de l'authentification par token.

Remarques

Cet outil décode uniquement ; il ne vérifie pas la signature.
Les payloads JWT sont encodés, pas chiffrés — ne les traitez jamais comme secrets.
Les claims de temps (exp, iat, nbf) sont en secondes UNIX, affichés ici en heure locale.
Le décodage s'effectue sur votre appareil, mais évitez de coller des tokens sensibles sur des ordinateurs partagés.

FAQ

Vérifie-t-il la signature ?: Non. Vérifier une signature JWT nécessite la clé secrète ou publique. Cet outil décode uniquement le header et le payload pour vous permettre de les lire.
Est-il sûr de coller mon token ici ?: Le décodage s'effectue entièrement dans votre navigateur et le token n'est jamais envoyé. Toutefois, évitez de coller des tokens réels et sensibles sur un ordinateur partagé ou public.
Qu'est-ce que le claim exp ?: exp est l'heure d'expiration sous forme de timestamp UNIX (secondes). S'il est dans le passé, le token a expiré. Cet outil l'affiche en heure locale.
Que se passe-t-il si le token est invalide ?: Si le token n'est pas un JWT valide ou si ses parties ne sont pas du JSON Base64URL correct, un message d'erreur s'affiche à la place du résultat.
Dois-je garder mon JWT secret ?: Oui. Toute personne possédant le token peut lire son payload et pourrait l'utiliser jusqu'à son expiration ; traitez donc les tokens comme des mots de passe.