Décodeur & Inspecteur JWT
Collez n'importe quel token JWT et décodez instantanément le header, le payload et les claims. Statut d'expiration, timestamps et claims affichés clairement.
JWT Token
Astuce : Ctrl+Entrée pour décoder. Votre token ne quitte jamais votre navigateur.
À propos du Décodeur JWT
Un JWT (JSON Web Token) est composé de trois parties encodées en Base64URL : header, payload et signature. Cet outil décode le header et le payload instantanément, affiche tous les claims dans un format lisible, convertit les timestamps Unix en dates humaines, et indique si le token est valide, expiré ou pas encore actif.
Comment Ça Marche
- Copiez votre token JWT depuis votre application, DevTools ou Postman
- Collez-le dans le champ de saisie
- Cliquez sur Décoder le Token ou appuyez sur Ctrl+Entrée
- Inspectez le header, payload, claims et statut d'expiration
Fonctionnalités Clés
- Décode le header et payload JWT instantanément
- Affiche le statut d'expiration : valide, expiré ou pas encore valide
- Convertit automatiquement les timestamps exp, iat, nbf en dates lisibles
- Affiche tous les claims standard et personnalisés
- Afficher / masquer la signature pour la sécurité
- 100% navigateur — les tokens ne quittent jamais votre appareil
Questions Fréquentes
- Comment décoder un token JWT ?
- Un JWT a trois parties séparées par des points. Les deux premières (header et payload) sont du JSON encodé en Base64URL — collez le token complet ici et elles sont décodées instantanément dans votre navigateur. La troisième partie est la signature et ne peut pas être décodée en données utiles sans la clé secrète.
- Quels claims contient un JWT ?
- Les claims JWT standard incluent : sub (sujet/ID utilisateur), iss (émetteur), aud (audience), exp (temps d'expiration), iat (émis à), nbf (pas avant) et jti (ID JWT). La plupart des fournisseurs d'authentification comme Auth0, Firebase et Cognito ajoutent des claims personnalisés pour les rôles, l'email et les permissions.
- Est-il sûr de coller mon token JWT dans cet outil ?
- Oui — cet outil fonctionne entièrement dans votre navigateur. Votre token est décodé localement via JavaScript et n'est jamais envoyé à un serveur. Cela dit, traitez les tokens JWT comme des mots de passe : évitez de les partager publiquement, faites-les tourner régulièrement et utilisez des temps d'expiration courts en production.
- Comment vérifier si un token JWT est expiré ?
- Le claim exp dans le payload est un timestamp Unix (secondes depuis 1970). Si exp est inférieur au temps actuel, le token est expiré. Cet outil effectue cette vérification automatiquement et affiche un badge clair Valide ou Expiré avec la date et l'heure d'expiration exactes.