How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

Décodeur JWT - Décodez les jetons JSON Web Token et vérifiez leur expiration en ligne

Collez n'importe quel JSON Web Token pour décoder instantanément son en-tête et sa charge utile, consulter la signature et vérifier s'il a expiré. Tout s'exécute en local — vos jetons ne quittent jamais votre navigateur.

JWT encodé

Cet outil se contente de décoder le jeton — il ne vérifie pas la signature avec une clé secrète ou publique. Quiconque possède le jeton peut en lire la charge utile : ne placez donc jamais de secrets dans un JWT.

Les fichiers sont automatiquement supprimés après traitementSans filigraneGratuit — aucune inscription requise

Vous avez terminé avec le Décodeur JWT ? Essayez ceux-ci

Des outils sélectionnés qui se marient parfaitement avec Décodeur JWT. Continuez sans perdre votre fichier.

Voir tous les outils

Encodeur / décodeur Base64

Encodez n'importe quel texte ou fichier en Base64 (avec variante URL-safe), ou décodez du Base64 en texte. Compatible UTF-8.

Essayez maintenant

Générateur de hachage

Calculez les empreintes hexadécimales SHA-1, SHA-256, SHA-384 et SHA-512 de n'importe quel texte ou fichier à l'aide de l'API Web Crypto du navigateur.

Essayez maintenant

Embellir le JSON

Formatez, validez et minifiez du JSON dans votre navigateur. Indentation soignée à 2 / 4 / 8 espaces ou minification sur une ligne, avec copie et téléchargement.

Essayez maintenant

Encodeur / décodeur d'URL

Encodez en pourcentage des composants d’URL ou des URL entières, puis décodez-les. Modes encodeURIComponent et encodeURI.

Essayez maintenant

Générateur de mots de passe

Générez des mots de passe robustes, cryptographiquement aléatoires, jusqu'à 128 caractères, avec estimation de l'entropie en direct.

Essayez maintenant

Comparateur de texte

Comparez deux extraits de texte ligne par ligne. Vue côte à côte ou unifiée, avec options pour ignorer les espaces et la casse.

Essayez maintenant

Frequently Asked Questions

Collez le JWT encodé (la longue chaîne eyJ…) dans la zone de saisie. L'outil le découpe au niveau des deux points, décode l'en-tête et la charge utile en Base64URL et affiche le JSON de chacun ainsi que le segment de signature brut — le tout sans aucune requête réseau.

usage

Non. Le décodeur se contente d'analyser le token : il ne vérifie pas la signature à l'aide d'une clé secrète ou publique, car la vérification nécessite le matériel de clé de l'émetteur. Utilisez une bibliothèque JWT côté serveur pour la vérification en production ; cet outil sert à l'inspection et au débogage.

technical

Vous obtenez l'en-tête (algorithme et identifiant de clé), les revendications de la charge utile (sub, iss, aud, iat, exp et toute revendication personnalisée) et la signature brute. Les revendications d'horodatage standard sont mises en forme sous forme de dates lisibles afin que vous puissiez repérer les jetons périmés en un coup d'œil.

features

Si la charge utile contient la revendication standard « exp », l'outil la compare à l'heure actuelle et affiche soit « Valide jusqu'au », soit « Token expiré le » avec l'horodatage exact. Les tokens sans revendication exp sont signalés comme n'ayant pas de date d'expiration.

features

Quiconque lit la charge utile d'un JWT peut l'utiliser jusqu'à son expiration ; les jetons de production doivent donc rester dans des outils privés. Ce décodeur fonctionne entièrement dans votre navigateur et ne transmet jamais le jeton, mais la règle la plus sûre consiste à décoder de préférence des jetons de développement à courte durée de vie.

privacy

Un JWT comporte trois segments encodés en Base64URL séparés par des points : l'en-tête (l'algorithme de signature), la charge utile (les revendications que l'émetteur souhaite voir le vérificateur accepter) et la signature (un MAC ou une signature numérique portant sur header.payload). Le décodage ne nécessite jamais de clé — seule la vérification en a besoin.

technical

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Déboguer les flux OAuth et OpenID Connect

Décodez les jetons d'accès et les jetons d'identité renvoyés par Auth0, Okta, Cognito et Azure AD pour vérifier les portées, les audiences et les émetteurs lors de vos travaux d'intégration OAuth en local

For Developers

Inspecter les en-têtes d'autorisation dans les appels API

Collez le jeton bearer d'une requête API en échec pour vérifier si le problème vient d'un mauvais tenant, d'un mauvais rôle ou d'une expiration, avant d'ouvrir un ticket auprès de l'équipe backend

For Developers

Vérifier l'expiration des jetons pendant le développement

Repérez les jetons expirés qui cassent silencieusement votre environnement de préproduction en lisant la revendication exp, sans avoir à copier le jeton dans un terminal ni à écrire un script à la volée

For Business

Auditer les autorisations encodées dans les revendications du token

Vérifiez les revendications personnalisées telles que les rôles, les locataires et les indicateurs de fonctionnalités afin que les administrateurs puissent confirmer que le jeton d'un client accorde exactement l'accès prévu par l'équipe de licences

For Business

Valider les intégrations d'authentification unique (SSO)

Examinez les jetons SAML et OIDC produits par les intégrations SSO d'entreprise pour vérifier l'appartenance aux groupes et les correspondances d'attributs avant un déploiement auprès de tous les employés

Education

Enseigner l'authentification par jeton

Servez-vous des panneaux décodés de l'en-tête, de la charge utile et de la signature pour expliquer la structure des JWT aux étudiants de bootcamp, aux ingénieurs juniors et aux participants d'ateliers de sécurité

Try JWT Decoder now — it's free

Outils d'image

Outils PDF

Autres outils

Décodeur JWT - Décodez les jetons JSON Web Token et vérifiez leur expiration en ligne

Vous avez terminé avec le Décodeur JWT ? Essayez ceux-ci

Encodeur / décodeur Base64

Générateur de hachage

Embellir le JSON

Encodeur / décodeur d'URL

Générateur de mots de passe

Comparateur de texte

Frequently Asked Questions

How JWT Decoder helps you get it done

Déboguer les flux OAuth et OpenID Connect

Inspecter les en-têtes d'autorisation dans les appels API

Vérifier l'expiration des jetons pendant le développement

Auditer les autorisations encodées dans les revendications du token

Valider les intégrations d'authentification unique (SSO)

Enseigner l'authentification par jeton