Mon jeton part-il quelque part ?

**Non**. Tout le décodage **dans le navigateur** : decode base64url + parse JSON. Tu peux **vérifier dans DevTools → Network** : aucun upload. **C'est la différence clé vs jwt.io**, qui envoie le jeton sur le réseau.

Que signifient exp / iat / nbf ?

Trois claims liés au temps : - **exp** (expiration) : timestamp Unix où le jeton **expire** - **iat** (issued at) : quand il a été **émis** - **nbf** (not before) : moment **le plus tôt** où le jeton devient valide Le décodeur les affiche sous forme de **dates formatées dans la locale**.

Le jeton apparaît expiré mais fonctionne encore, bug ?

Ton API a peut-être une **tolérance de clock skew** (typiquement 30 à 60 s) ou un **cache des vérifications**. Si **exp est >5 min dans le passé** et que le jeton fonctionne toujours, c'est un **vrai bug d'API**.

Que signifie alg = « none » ?

Un JWT avec l'algorithme **« none »** n'a **pas de signature**, n'importe qui peut le modifier. La fameuse **« vulnérabilité alg=none »**. Si tu vois ça en **production**, tu as potentiellement un **problème de sécurité sérieux**.

JWE est-il supporté ?

**Partiellement**. **JWE** (JSON Web Encryption, payload chiffré) a **5 sections séparées par des points** au lieu de 3. Le décodeur lèvera une erreur « shape » car il voit 5 parties. **La plupart des JWT utilisés sont des JWS** (signés) avec 3 sections, JWE est de niche.

Pourquoi UTF-8 dans le JSON ?

**La spec JWT autorise UTF-8** dans les claims (par exemple des noms accentués ou non latins dans « name »). Le décodeur fait **base64 → octets → chaîne UTF-8 → parse JSON**. Sans UTF-8, les caractères accentués seraient brouillés (artefacts Latin-1).

Quelle peut être la longueur d'un JWT ?

**Pas de limite technique**, mais en pratique : **cookie HTTP environ 4 KB, header Authorization environ 8 KB**. **Des jetons au-dessus de 2 KB = signal d'alarme**, quelqu'un a probablement bourré trop de claims. Le décodeur gère n'importe quelle longueur.

Décodeur JWT - gratuit

Décodeur JWT

Colle un JSON Web Token, vois le header, payload et signature. Le décodeur tourne dans ton navigateur, le token ne le quitte jamais.

Token JWT

Le token ne quitte jamais ton navigateur.

Qu'est-ce qu'il y a dans ce jeton JWT ? Comment le décoder ?

Colle un jeton JWT : l'outil affiche le header, le payload et la signature. Tout tourne dans ton navigateur, le jeton ne quitte jamais ton appareil.

C'est important parce que le célèbre jwt.io envoie les jetons sur le réseau. Y coller un jeton de production = inviter les ennuis. Ici, tout est en local.

Parfait pour debugger l'autorisation : access tokens, refresh tokens, ID tokens issus d'Auth0, Cognito, Firebase, Keycloak.

Comment l'utiliser

Copie ton jeton JWT (commence par « eyJ... » et contient 3 sections séparées par des points).

Colle dans le champ texte : le parsing est automatique (pas de clic).

À droite, tu vois le header (algorithme + type), à gauche le payload (claims : sub, iss, exp, claims personnalisés), la signature en dessous.

Les pastilles en haut affichent : algorithme (HS256/RS256/...), type (JWT/JWE), date d'émission (iat), expiration (exp). Jeton expiré = la pastille exp passe au rouge.

Quand c'est utile

Sept situations typiques où un décodeur JWT t'aide à comprendre ce qu'il y a vraiment dans le jeton :

Debug d'autorisation. Tu reçois un jeton du backend, tu veux voir les claims (role, organization, scopes).
Auth0 / Cognito / Firebase / Keycloak. Décoder l'ID token révèle tous les attributs utilisateur.
Vérification d'expiration. Le refresh token est-il encore valide ? La pastille exp répond.
Code review. Un collègue a collé un jeton dans le chat, tu veux voir ce qu'il y a dedans avant de remonter un incident.
Pédagogie. Voir comment JWT fonctionne vraiment, pour les gens qui apprennent l'autorisation.
OAuth 2.0 / OpenID Connect. Parsing des Bearer access tokens.
Audit. Exp trop long ? Mauvais scopes ? Signature SHA-1 ?

Questions et réponses

Non. Vérifier HS256 nécessite la clé secrète, RS256 nécessite la clé publique. Le décodeur montre uniquement la structure. Pour vérifier ou signer des jetons dans le navigateur, utilise notre signataire/vérificateur JWT. Si tu as besoin d'une paire de clés RSA / EC pour signer, génère-la avec le générateur de clés JWT.

Qu'est-ce qu'il y a dans ce jeton JWT ? Comment le décoder ?

Colle un jeton JWT : l'outil affiche le header, le payload et la signature. Tout tourne dans ton navigateur, le jeton ne quitte jamais ton appareil.

C'est important parce que le célèbre jwt.io envoie les jetons sur le réseau. Y coller un jeton de production = inviter les ennuis. Ici, tout est en local.

Parfait pour debugger l'autorisation : access tokens, refresh tokens, ID tokens issus d'Auth0, Cognito, Firebase, Keycloak.

Comment l'utiliser

Copie ton jeton JWT (commence par « eyJ... » et contient 3 sections séparées par des points).

Colle dans le champ texte : le parsing est automatique (pas de clic).

À droite, tu vois le header (algorithme + type), à gauche le payload (claims : sub, iss, exp, claims personnalisés), la signature en dessous.

Les pastilles en haut affichent : algorithme (HS256/RS256/...), type (JWT/JWE), date d'émission (iat), expiration (exp). Jeton expiré = la pastille exp passe au rouge.

Quand c'est utile

Sept situations typiques où un décodeur JWT t'aide à comprendre ce qu'il y a vraiment dans le jeton :

Debug d'autorisation. Tu reçois un jeton du backend, tu veux voir les claims (role, organization, scopes).
Auth0 / Cognito / Firebase / Keycloak. Décoder l'ID token révèle tous les attributs utilisateur.
Vérification d'expiration. Le refresh token est-il encore valide ? La pastille exp répond.
Code review. Un collègue a collé un jeton dans le chat, tu veux voir ce qu'il y a dedans avant de remonter un incident.
Pédagogie. Voir comment JWT fonctionne vraiment, pour les gens qui apprennent l'autorisation.
OAuth 2.0 / OpenID Connect. Parsing des Bearer access tokens.
Audit. Exp trop long ? Mauvais scopes ? Signature SHA-1 ?

Questions et réponses

Décodeur JWT

Qu'est-ce qu'il y a dans ce jeton JWT ? Comment le décoder ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur UUID

Hash de mots de passe : MD5, SHA, bcrypt

Générateur secret TOTP

Décodeur JWT

Qu'est-ce qu'il y a dans ce jeton JWT ? Comment le décoder ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur UUID

Hash de mots de passe : MD5, SHA, bcrypt

Générateur secret TOTP