En-tête (Header)
Contient les métadonnées du jeton : algorithme de signature (alg) et type de jeton (typ). Encodé en Base64URL.
Décodeur JWT
Décodez les JSON Web Tokens (JWT) pour visualiser l’en-tête et les revendications de charge utile sans vérifier la signature. Visualisez la structure du jeton, analysez les revendications, vérifiez les délais d’expiration et déboguez facilement les problèmes d’authentification. Traitement 100 % côté client pour la confidentialité.
Décodeur JWT
🚀 Essayez ces exemples de JWT :
📐 Anatomie de la structure JWT
Charge utile (Payload)
Contient les revendications (données utilisateur, permissions, expiration). Également encodé en Base64URL. Non chiffré !
Signature
Hachage cryptographique de l'en-tête + charge utile + clé secrète. Utilisé pour vérifier l'intégrité du jeton.
Merci de soutenir MiniWebtool
Votre bloqueur de pubs nous empêche d’afficher des annonces
MiniWebtool est gratuit grâce aux annonces. Si cet outil vous a aidé, soutenez-nous avec Premium (sans pubs + outils plus rapides) ou ajoutez MiniWebtool.com à la liste blanche puis rechargez la page.
- Ou passez à Premium (sans pubs)
- Autorisez les pubs pour MiniWebtool.com, puis rechargez
Décodeur JWT
Bienvenue sur le Décodeur JWT, un outil en ligne puissant permettant aux développeurs de décoder et d'inspecter instantanément les JSON Web Tokens (JWT). Que vous déboguiez des problèmes d'authentification, vérifiiez des revendications de jeton ou découvriez la structure des JWT, cet outil fournit une visualisation claire avec code couleur de tous les composants du jeton sans envoyer de données à des serveurs externes.
Qu'est-ce qu'un JSON Web Token (JWT) ?
Un JSON Web Token (JWT, prononcé "jot") est une norme ouverte (RFC 7519) qui définit une méthode compacte et autonome pour transmettre en toute sécurité des informations entre les parties sous la forme d'un objet JSON. Les JWT sont largement utilisés pour :
- L'authentification : Une fois l'utilisateur connecté, chaque requête ultérieure inclut un JWT, permettant l'accès aux routes, services et ressources autorisés avec ce jeton.
- L'échange d'informations : Les JWT peuvent transmettre des informations de manière sécurisée car ils peuvent être signés à l'aide de clés secrètes (HMAC) ou de paires de clés publiques/privées (RSA, ECDSA).
- L'autorisation : Les serveurs peuvent vérifier les revendications du jeton pour déterminer les permissions de l'utilisateur sans interroger une base de données à chaque requête.
Structure du JWT expliquée
Un JWT se compose de trois parties séparées par des points (.) :
1. En-tête / Header (Rouge)
L'en-tête contient généralement deux informations :
alg: L'algorithme de signature utilisé (ex: HS256, RS256, ES256)typ: Le type de jeton, qui est toujours "JWT"
2. Charge utile / Payload (Violet)
La charge utile contient les revendications (claims) - des déclarations sur l'utilisateur et des métadonnées supplémentaires. Il existe trois types de revendications :
- Revendications enregistrées : Revendications prédéfinies comme
iss(émetteur),exp(expiration),sub(sujet),aud(audience) - Revendications publiques : Revendications personnalisées enregistrées dans le registre IANA JSON Web Token ou définies comme URI
- Revendications privées : Revendications personnalisées convenues entre les parties (ex:
user_id,role)
3. Signature (Bleu)
La signature est créée en combinant l'en-tête encodé, la charge utile encodée, une clé secrète et l'algorithme spécifié dans l'en-tête. Elle garantit que le jeton n'a pas été altéré.
Référence des revendications JWT courantes
| Revendication | Nom | Description |
|---|---|---|
iss |
Émetteur (Issuer) | Identifie qui a émis le JWT (ex: l'URL de votre serveur d'authentification) |
sub |
Sujet (Subject) | Identifie le sujet du JWT (généralement l'ID utilisateur ou l'e-mail) |
aud |
Audience | Identifie les destinataires auxquels le JWT est destiné |
exp |
Date d'expiration | Horodatage Unix après lequel le JWT n'est plus valide |
nbf |
Pas avant (Not Before) | Horodatage Unix avant lequel le JWT n'est pas valide |
iat |
Émis à (Issued At) | Horodatage Unix du moment où le JWT a été émis |
jti |
ID JWT | Identifiant unique pour le JWT (utile pour prévenir les attaques par rejeu) |
Algorithmes de signature JWT
Algorithmes symétriques (HMAC)
HS256: HMAC utilisant SHA-256 - Même clé secrète pour la signature et la vérificationHS384: HMAC utilisant SHA-384HS512: HMAC utilisant SHA-512
Algorithmes asymétriques (RSA/ECDSA)
RS256: Signature RSA avec SHA-256 - La clé privée signe, la clé publique vérifieRS384: Signature RSA avec SHA-384RS512: Signature RSA avec SHA-512ES256: ECDSA utilisant la courbe P-256 et SHA-256ES384: ECDSA utilisant la courbe P-384 et SHA-384ES512: ECDSA utilisant la courbe P-521 et SHA-512
Considérations de sécurité
Décoder vs Vérifier
Important : Cet outil décode les JWT mais ne les vérifie pas. Le décodage révèle simplement le contenu encodé en Base64URL, tandis que la vérification nécessite la clé secrète pour valider la signature. Ne faites jamais confiance aux données décodées sans vérification de signature côté serveur.
Bonnes pratiques
- Vérifiez toujours les signatures côté serveur avant de faire confiance aux revendications
- Utilisez des délais d'expiration courts (
exp) - généralement de 15 minutes à 1 heure pour les jetons d'accès - Ne stockez pas de données sensibles dans la charge utile - elle est encodée, pas cryptée
- Utilisez HTTPS pour empêcher l'interception des jetons pendant la transmission
- Validez la revendication d'audience (
aud) pour éviter l'utilisation abusive des jetons - Utilisez des algorithmes asymétriques (RS256, ES256) pour les systèmes distribués où plusieurs services doivent vérifier les jetons
Confidentialité et sécurité
Ce Décodeur JWT fonctionne entièrement dans votre navigateur :
- Pas de transmission serveur : Votre JWT n'est jamais envoyé à un serveur
- Traitement côté client : Tout le décodage se fait en JavaScript dans votre navigateur
- Pas de stockage de données : Nous ne stockons, n'enregistrons ni ne suivons vos jetons
- Logique open source : Vous pouvez inspecter la logique de décodage dans les outils de développement de votre navigateur
Foire aux questions
Qu'est-ce qu'un JWT (JSON Web Token) ?
Un JSON Web Token (JWT) est une norme ouverte (RFC 7519) pour transmettre des informations en toute sécurité entre les parties sous forme d'objet JSON. Les JWT sont couramment utilisés pour l'authentification et l'autorisation. Un JWT se compose de trois parties : En-tête, Charge utile et Signature.
Est-il sûr de décoder les JWT dans le navigateur ?
Oui, c'est sûr car les données sont seulement encodées, pas chiffrées. Cependant, le décodage ne prouve pas que le jeton est valide. Seule la vérification de la signature avec une clé secrète peut garantir l'intégrité.
Que signifient les différentes parties d'un JWT ?
1) En-tête : Algorithme et type. 2) Charge utile : Données et revendications (claims). 3) Signature : Preuve cryptographique que le jeton n'a pas été modifié.
Pourquoi ne puis-je pas vérifier la signature avec cet outil ?
La vérification nécessite l'accès à vos clés secrètes privées. Par mesure de sécurité et de confidentialité, cet outil n'accepte pas et ne gère pas vos clés privées ; il se concentre uniquement sur la visualisation du contenu.
Quelles sont les revendications JWT courantes ?
Les plus fréquentes sont iss, sub, aud, exp, nbf, iat et jti. Elles servent à identifier l'émetteur, le sujet, le destinataire et la période de validité du jeton.
Ressources supplémentaires
Citez ce contenu, cette page ou cet outil comme suit :
"Décodeur JWT" sur https://MiniWebtool.com/fr// de MiniWebtool, https://MiniWebtool.com/
par l'équipe miniwebtool. Mis à jour : 03 fév. 2026