Décodeur JWT - Décodez les jetons JSON Web Token et vérifiez leur expiration en ligne

Collez n'importe quel JSON Web Token pour décoder instantanément son en-tête et sa charge utile, consulter la signature et vérifier s'il a expiré. Tout s'exécute en local — vos jetons ne quittent jamais votre navigateur.

JWT encodé

Decode and verify entirely in your browser — nothing is uploaded.

Les fichiers sont automatiquement supprimés après traitementTraité en toute sécurité via HTTPS

Frequently Asked Questions

Collez le JWT encodé (la longue chaîne eyJ…) dans la zone de saisie. L'outil le découpe au niveau des deux points, décode l'en-tête et la charge utile en Base64URL et affiche le JSON de chacun ainsi que le segment de signature brut — le tout sans aucune requête réseau.

usage

Non. Le décodeur se contente d'analyser le token : il ne vérifie pas la signature à l'aide d'une clé secrète ou publique, car la vérification nécessite le matériel de clé de l'émetteur. Utilisez une bibliothèque JWT côté serveur pour la vérification en production ; cet outil sert à l'inspection et au débogage.

technical

Vous obtenez l'en-tête (algorithme et identifiant de clé), les revendications de la charge utile (sub, iss, aud, iat, exp et toute revendication personnalisée) et la signature brute. Les revendications d'horodatage standard sont mises en forme sous forme de dates lisibles afin que vous puissiez repérer les jetons périmés en un coup d'œil.

features

Si la charge utile contient la revendication standard « exp », l'outil la compare à l'heure actuelle et affiche soit « Valide jusqu'au », soit « Token expiré le » avec l'horodatage exact. Les tokens sans revendication exp sont signalés comme n'ayant pas de date d'expiration.

features

Quiconque lit la charge utile d'un JWT peut l'utiliser jusqu'à son expiration ; les jetons de production doivent donc rester dans des outils privés. Ce décodeur fonctionne entièrement dans votre navigateur et ne transmet jamais le jeton, mais la règle la plus sûre consiste à décoder de préférence des jetons de développement à courte durée de vie.

privacy

Un JWT comporte trois segments encodés en Base64URL séparés par des points : l'en-tête (l'algorithme de signature), la charge utile (les revendications que l'émetteur souhaite voir le vérificateur accepter) et la signature (un MAC ou une signature numérique portant sur header.payload). Le décodage ne nécessite jamais de clé — seule la vérification en a besoin.

technical

Un jeton compact et compatible URL composé de trois segments Base64URL — en-tête, charge utile et signature — qui transporte des revendications signées comme un identifiant utilisateur et une date d'expiration. Il est largement utilisé pour les sessions de connexion sans état et la sécurisation des requêtes API. Collez-en un ci-dessus pour inspecter son en-tête et sa charge utile.

technical

Sous l'en-tête et la charge utile décodés, collez le secret de signature (pour HS256) ou la clé publique de l'émetteur au format PEM ou JWK (pour RS256, ES256 et similaires) dans le champ Vérifier la signature, puis cliquez sur Vérifier. Le badge qui apparaît indique si la signature est valide, invalide, ou utilise un algorithme que le vérificateur côté navigateur ne prend pas en charge — le tout calculé localement, sans envoyer le jeton ni la clé où que ce soit.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Cliquez sur Essayer un exemple de JWT pour charger un jeton HS256 de démonstration avec les revendications sub, name, iat et exp, afin de voir le décodage et la vérification d'expiration fonctionner avant de coller votre propre jeton. Une fois un jeton dans le champ, un bouton Effacer apparaît à côté pour vider la saisie en un clic.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Déboguer les flux OAuth et OpenID Connect

Décodez les jetons d'accès et les jetons d'identité renvoyés par Auth0, Okta, Cognito et Azure AD pour vérifier les portées, les audiences et les émetteurs lors de vos travaux d'intégration OAuth en local

For Developers

Inspecter les en-têtes d'autorisation dans les appels API

Collez le jeton bearer d'une requête API en échec pour vérifier si le problème vient d'un mauvais tenant, d'un mauvais rôle ou d'une expiration, avant d'ouvrir un ticket auprès de l'équipe backend

For Developers

Vérifier l'expiration des jetons pendant le développement

Repérez les jetons expirés qui cassent silencieusement votre environnement de préproduction en lisant la revendication exp, sans avoir à copier le jeton dans un terminal ni à écrire un script à la volée

For Business

Auditer les autorisations encodées dans les revendications du token

Vérifiez les revendications personnalisées telles que les rôles, les locataires et les indicateurs de fonctionnalités afin que les administrateurs puissent confirmer que le jeton d'un client accorde exactement l'accès prévu par l'équipe de licences

For Business

Valider les intégrations d'authentification unique (SSO)

Examinez les jetons SAML et OIDC produits par les intégrations SSO d'entreprise pour vérifier l'appartenance aux groupes et les correspondances d'attributs avant un déploiement auprès de tous les employés

Education

Enseigner l'authentification par jeton

Servez-vous des panneaux décodés de l'en-tête, de la charge utile et de la signature pour expliquer la structure des JWT aux étudiants de bootcamp, aux ingénieurs juniors et aux participants d'ateliers de sécurité

For Developers

Vérifier la configuration de signature de webhook d'un partenaire

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.