Décodeur JWT - Décodez les jetons JSON Web Token et vérifiez leur expiration en ligne
Collez n'importe quel JSON Web Token pour décoder instantanément son en-tête et sa charge utile, consulter la signature et vérifier s'il a expiré. Tout s'exécute en local — vos jetons ne quittent jamais votre navigateur.
Decode and verify entirely in your browser — nothing is uploaded.
Vous avez terminé avec le Décodeur JWT ? Essayez ceux-ci
Des outils sélectionnés qui se marient parfaitement avec Décodeur JWT. Continuez sans perdre votre fichier.
Encodeur / décodeur Base64
Encodez n'importe quel texte ou fichier en Base64 (avec variante URL-safe), ou décodez du Base64 en texte. Compatible UTF-8.
Essayez maintenantGénérateur de hachage
Calculez les empreintes hexadécimales SHA-1, SHA-256, SHA-384 et SHA-512 de n'importe quel texte ou fichier à l'aide de l'API Web Crypto du navigateur.
Essayez maintenantEmbellir le JSON
Formatez, validez et minifiez du JSON dans votre navigateur. Indentation soignée à 2 / 4 / 8 espaces ou minification sur une ligne, avec copie et téléchargement.
Essayez maintenantEncodeur / décodeur d'URL
Encodez en pourcentage des composants d’URL ou des URL entières, puis décodez-les. Modes encodeURIComponent et encodeURI.
Essayez maintenantGénérateur de mots de passe
Générez des mots de passe robustes, cryptographiquement aléatoires, jusqu'à 128 caractères, avec estimation de l'entropie en direct.
Essayez maintenantComparateur de texte
Comparez deux extraits de texte ligne par ligne. Vue côte à côte ou unifiée, avec options pour ignorer les espaces et la casse.
Essayez maintenantFrequently Asked Questions
Collez le JWT encodé (la longue chaîne eyJ…) dans la zone de saisie. L'outil le découpe au niveau des deux points, décode l'en-tête et la charge utile en Base64URL et affiche le JSON de chacun ainsi que le segment de signature brut — le tout sans aucune requête réseau.
usageNon. Le décodeur se contente d'analyser le token : il ne vérifie pas la signature à l'aide d'une clé secrète ou publique, car la vérification nécessite le matériel de clé de l'émetteur. Utilisez une bibliothèque JWT côté serveur pour la vérification en production ; cet outil sert à l'inspection et au débogage.
technicalVous obtenez l'en-tête (algorithme et identifiant de clé), les revendications de la charge utile (sub, iss, aud, iat, exp et toute revendication personnalisée) et la signature brute. Les revendications d'horodatage standard sont mises en forme sous forme de dates lisibles afin que vous puissiez repérer les jetons périmés en un coup d'œil.
featuresSi la charge utile contient la revendication standard « exp », l'outil la compare à l'heure actuelle et affiche soit « Valide jusqu'au », soit « Token expiré le » avec l'horodatage exact. Les tokens sans revendication exp sont signalés comme n'ayant pas de date d'expiration.
featuresQuiconque lit la charge utile d'un JWT peut l'utiliser jusqu'à son expiration ; les jetons de production doivent donc rester dans des outils privés. Ce décodeur fonctionne entièrement dans votre navigateur et ne transmet jamais le jeton, mais la règle la plus sûre consiste à décoder de préférence des jetons de développement à courte durée de vie.
privacyUn JWT comporte trois segments encodés en Base64URL séparés par des points : l'en-tête (l'algorithme de signature), la charge utile (les revendications que l'émetteur souhaite voir le vérificateur accepter) et la signature (un MAC ou une signature numérique portant sur header.payload). Le décodage ne nécessite jamais de clé — seule la vérification en a besoin.
technicalUn jeton compact et compatible URL composé de trois segments Base64URL — en-tête, charge utile et signature — qui transporte des revendications signées comme un identifiant utilisateur et une date d'expiration. Il est largement utilisé pour les sessions de connexion sans état et la sécurisation des requêtes API. Collez-en un ci-dessus pour inspecter son en-tête et sa charge utile.
technicalSous l'en-tête et la charge utile décodés, collez le secret de signature (pour HS256) ou la clé publique de l'émetteur au format PEM ou JWK (pour RS256, ES256 et similaires) dans le champ Vérifier la signature, puis cliquez sur Vérifier. Le badge qui apparaît indique si la signature est valide, invalide, ou utilise un algorithme que le vérificateur côté navigateur ne prend pas en charge — le tout calculé localement, sans envoyer le jeton ni la clé où que ce soit.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsCliquez sur Essayer un exemple de JWT pour charger un jeton HS256 de démonstration avec les revendications sub, name, iat et exp, afin de voir le décodage et la vérification d'expiration fonctionner avant de coller votre propre jeton. Une fois un jeton dans le champ, un bouton Effacer apparaît à côté pour vider la saisie en un clic.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
Déboguer les flux OAuth et OpenID Connect
Décodez les jetons d'accès et les jetons d'identité renvoyés par Auth0, Okta, Cognito et Azure AD pour vérifier les portées, les audiences et les émetteurs lors de vos travaux d'intégration OAuth en local
Inspecter les en-têtes d'autorisation dans les appels API
Collez le jeton bearer d'une requête API en échec pour vérifier si le problème vient d'un mauvais tenant, d'un mauvais rôle ou d'une expiration, avant d'ouvrir un ticket auprès de l'équipe backend
Vérifier l'expiration des jetons pendant le développement
Repérez les jetons expirés qui cassent silencieusement votre environnement de préproduction en lisant la revendication exp, sans avoir à copier le jeton dans un terminal ni à écrire un script à la volée
Auditer les autorisations encodées dans les revendications du token
Vérifiez les revendications personnalisées telles que les rôles, les locataires et les indicateurs de fonctionnalités afin que les administrateurs puissent confirmer que le jeton d'un client accorde exactement l'accès prévu par l'équipe de licences
Valider les intégrations d'authentification unique (SSO)
Examinez les jetons SAML et OIDC produits par les intégrations SSO d'entreprise pour vérifier l'appartenance aux groupes et les correspondances d'attributs avant un déploiement auprès de tous les employés
Enseigner l'authentification par jeton
Servez-vous des panneaux décodés de l'en-tête, de la charge utile et de la signature pour expliquer la structure des JWT aux étudiants de bootcamp, aux ingénieurs juniors et aux participants d'ateliers de sécurité
Vérifier la configuration de signature de webhook d'un partenaire
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate