How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

Décodeur JWT - Décoder les jetons web JSON & vérifier l’expiration en ligne

Collez n’importe quel JSON Web Token pour décoder instantanément son en-tête et sa charge utile, visualiser la signature et vérifier s’il a expiré. S’exécute localement — vos jetons ne quittent jamais votre navigateur.

JWT encodé

Cet outil ne décode que le jeton — il ne vérifie pas la signature par rapport à une clé secrète ou publique. Toute personne possédant le jeton peut lire sa charge utile, donc ne mettez jamais de secrets dans un JWT.

À propos des jetons web JSON

Un JWT possède trois segments encodés en Base64URL, séparés par des points : en-tête, charge utile et signature. L’en-tête décrit l’algorithme de signature, la charge utile transporte les revendications (comme sub, iat, exp), et la signature permet à un serveur de vérifier que le jeton n’a pas été altéré. Le décodage ne nécessite jamais de secret.

Continuez à améliorer vos images

Faites passer votre retouche photo au niveau supérieur avec ces outils populaires

📝

Ajouter du texte à l’image

Ajouter des légendes et des titres à votre photo améliorée

🖼️

Ajouter une bordure de photo

Encadrez votre effet avec de belles bordures

🗜️

Compresser l’image

Optimisez votre image améliorée pour le partage

📐

Redimensionner l’image

Modifier les dimensions de l’image

📝

Ajouter du texte à l’image

Ajouter des légendes et des titres à votre photo améliorée

Essayez-le maintenant

🖼️

Ajouter une bordure de photo

Encadrez votre effet avec de belles bordures

Essayez-le maintenant

🗜️

Compresser l’image

Optimisez votre image améliorée pour le partage

Essayez-le maintenant

📐

Redimensionner l’image

Modifier les dimensions de l’image

Essayez-le maintenant

🎨

Photo en dessin animé

Essayez un style artistique différent

Essayez-le maintenant

✏️

Croquis au crayon

Créez des dessins artistiques au crayon

Essayez-le maintenant

Explorer tous les outils photo

Frequently Asked Questions

Collez le JWT encodé (le long eyJ... dans la boîte d’entrée. L’outil le divise en deux points, décode l’en-tête et la charge utile par Base64URL, et affiche le JSON pour chacun plus le segment de signature brut — le tout sans effectuer de requête réseau.

usage

Non. Le décodeur ne fait que traiter le jeton — il ne vérifie pas la signature par rapport à une clé secrète ou publique, car la vérification nécessite le matériel de clé de l’émetteur. Utilisez une bibliothèque JWT côté serveur pour la vérification en production ; Cet outil est destiné à l’inspection et au débogage.

technical

Vous obtenez l’en-tête (algorithme et identifiant de clé), les revendications de payload (sub, iss, aud, iat, exp et toutes les revendications personnalisées) ainsi que la signature brute. Les affirmations horodatages standard sont formatées en dates lisibles par l’humain, ce qui permet de repérer les jetons obsolètes d’un coup d’œil.

features

Si la charge utile contient la revendication standard « exp », l’outil la compare à l’heure actuelle et affiche soit « Valide jusqu’à » soit « Jeton expiré à » avec l’horodatage exact. Les jetons sans demande d’expérience sont signalés comme n’ayant pas d’expiration.

features

Toute personne qui lit la charge utile d’un JWT peut l’utiliser jusqu’à son expiration, donc les jetons de production appartiennent aux outils privés. Ce décodeur s’exécute entièrement dans votre navigateur et ne transmet jamais le jeton, mais la règle la plus sûre est de décoder les jetons de développement à courte durée chaque fois que possible.

privacy

Un JWT possède trois segments encodés en Base64URL, séparés par des points : en-tête (algorithme de signature), payload (les revendications que l’émetteur souhaite que le vérifiateur fasse confiance) et signature (une signature MAC ou numérique sur header.payload). Le décodage n’a jamais besoin d’une clé — seule la vérification en a besoin.

technical

Use Cases

Débogage OAuth & OpenID Connect Flows

Décodez les jetons d’accès et les jetons ID retournés par Auth0, Okta, Cognito et Azure AD pour vérifier les portées, les audiences et les émetteurs lors des travaux d’intégration OAuth locale

technical

Inspecter les en-têtes d’autorisation dans les appels API

Collez le jeton porteur d’une requête API en échec pour confirmer si le mauvais locataire, rôle ou expiration est responsable avant d’ouvrir un ticket auprès de l’équipe backend

technical

Vérifier l’expiration du jeton pendant le développement

Mettez des jetons périmés au spot qui cassent silencieusement votre environnement de staging en lisant la réclamation d’XP — pas besoin de copier le jeton dans un terminal ou d’écrire un script rapide

technical

Autorisations d’audit codées dans les revendications de jeton

Vérifiez les revendications personnalisées telles que les rôles, les locataires et les indicateurs de fonctionnalité afin que les administrateurs puissent confirmer que le jeton d’un client accorde exactement l’accès souhaité par l’équipe de licence

business

Valider les intégrations en connexion unique

Inspectez les jetons SAML et OIDC produits par les intégrations SSO d’entreprise afin de confirmer l’appartenance aux groupes et les correspondances d’attributs avant de les déployer à tous les employés

business

Enseigner l’authentification basée sur des jetons

Utilisez les panneaux décodés d’en-tête, de charge utile et de signature pour expliquer comment les JWT sont structurés aux étudiants du bootcamp, aux ingénieurs juniors et aux participants aux ateliers de sécurité

educational