Décodeur JWT — Décodez les JSON Web Tokens en ligne
Décodez les tokens JWT instantanément dans le navigateur — sans upload, sans serveur, totalement privé.
Entrée
Sortie
Qu'est-ce qu'un décodeur JWT ?
Vous avez déjà vu dans une réponse d'API un long string comme `eyJhbGciOi...` et vous vous êtes demandé ce qu'il contenait ? C'est un JWT — un JSON Web Token — et cet outil l'ouvre en quelques secondes. Selon le RFC 7519, les JWTs sont des tokens compacts et URL-safe utilisés pour l'authentification et l'échange de données. L'introduction de JWT.io explique la structure : trois parties encodées en Base64URL — en-tête, charge utile et signature — séparées par des points. La documentation MDN de atob() explique le décodage Base64. Pour les tokens OAuth2 ou OIDC, la spécification OpenID Connect définit les claims standards. Tout fonctionne dans le navigateur — votre token ne quitte jamais votre machine.
Un JWT se compose de trois parties encodées en Base64URL : l'en-tête, la charge utile et la signature.
Comment utiliser le décodeur JWT
Collez votre token JWT
Copiez un token JWT et collez-le dans l'éditeur d'entrée.
Inspectez la sortie décodée
L'outil décode automatiquement l'en-tête et la charge utile en JSON formaté.
Copiez ou téléchargez le résultat
Utilisez le bouton Copier ou Télécharger pour enregistrer le JSON décodé.
Exemple de décodage JWT
Voici un exemple de token JWT et de son contenu décodé :
Token JWT (Entrée)
Questions fréquemment posées
Est-il sûr de coller mon token JWT ici ?
Oui, complètement. Tout le décodage est effectué dans votre navigateur — votre token JWT n'est jamais envoyé à un serveur. Même avec des données de production sensibles, vous pouvez utiliser cet outil en toute sécurité.
Que montre la section signature ?
La signature est affichée sous forme de chaîne encodée en Base64URL. La vérification nécessite la clé secrète ou publique et n'est pas effectuée ici — seul le contenu de l'en-tête et de la charge utile est décodé.
Puis-je décoder des tokens JWT expirés ?
Oui. Cet outil ne fait que décoder la structure du token — il ne valide pas l'expiration (exp), l'émetteur (iss), l'audience (aud) ni d'autres claims. Les tokens expirés se décodent parfaitement.
Quels algorithmes JWT sont pris en charge ?
Tous les algorithmes JWT fonctionnent ici — HS256, RS256, ES256, PS256 et autres — car le décodeur effectue uniquement le décodage Base64URL de l'en-tête et de la charge utile sans vérifier la signature.
Comment est structuré un JWT ?
Un JWT comporte trois parties séparées par des points : l'en-tête (algorithme et type), la charge utile (claims comme sub, exp, iat) et la signature. Chaque partie est encodée en Base64URL. Vous pouvez lire une présentation détaillée sur Wikipédia : JSON Web Token.