OurToolNest

Décodeur JWT

Décodez et inspectez les tokens JWT (JSON Web Token) instantanément. Visualisez l'en-tête, le payload et la signature. Gratuit et privé.

Qu'est-ce que le Décodeur JWT ?

Le Décodeur JWT est un outil en ligne gratuit qui décode les tokens JSON Web Token (JWT) et affiche l'en-tête et le payload dans un format JSON lisible. Il détecte automatiquement et affiche le statut d'expiration du token en lisant la revendication exp, aidant les développeurs à déterminer rapidement si un token est encore valide. Tout le décodage s'effectue entièrement dans votre navigateur, donc vos tokens sensibles ne sont jamais transmis sur le réseau.

Comment utiliser ce Décodeur JWT ?

  1. Collez votre token JWT complet (les trois parties encodées en Base64 séparées par des points) dans le champ de saisie.
  2. Cliquez sur Décoder le JWT pour analyser la structure du token.
  3. Consultez l'en-tête décodé pour voir l'algorithme de signature et le type de token.
  4. Examinez le payload pour voir toutes les revendications, y compris le sujet, l'émetteur et les données personnalisées.
  5. Vérifiez l'indicateur de statut d'expiration pour voir si le token est actuellement valide ou expiré.

Conseils et bonnes pratiques

Ne partagez jamais les tokens de production

Même si cet outil traite les tokens localement, évitez de partager des tokens JWT d'environnements de production dans des captures d'écran ou des journaux. Les tokens peuvent contenir des informations sensibles sur les utilisateurs dans leur payload, et un token non expiré pourrait être utilisé pour un accès non autorisé.

Comprenez les trois parties

Un JWT se compose de trois parties encodées en Base64URL séparées par des points : l'en-tête (algorithme et type), le payload (revendications et données) et la signature (hash de vérification). Cet outil décode les deux premières parties qui ne sont pas chiffrées, seulement encodées.

Vérifiez régulièrement l'expiration

La revendication exp contient le temps d'expiration du token sous forme de timestamp Unix. Lors du débogage de problèmes d'authentification, vérifiez toujours d'abord si le token a expiré, car c'est la cause la plus courante des erreurs 401 Non autorisé dans les appels API.

Cherchez les revendications personnalisées

Au-delà des revendications standard comme iss, sub et exp, de nombreuses applications ajoutent des revendications personnalisées telles que les rôles utilisateur, les permissions ou les identifiants de locataire. Comprendre ces revendications personnalisées peut vous aider à déboguer plus efficacement les problèmes d'autorisation et de contrôle d'accès.

Cas d'utilisation courants

Débogage d'API

Lorsque les requêtes API retournent des erreurs d'authentification, décodez le JWT de l'en-tête Authorization pour vérifier si le token est expiré, émis pour la mauvaise audience ou s'il manque des revendications requises que l'API attend.

Dépannage de flux OAuth

Lors de l'implémentation d'OAuth 2.0 et OpenID Connect, inspectez les tokens d'identité et les tokens d'accès pour vérifier que le fournisseur d'identité retourne les scopes, les revendications et les valeurs d'audience corrects dans le payload du token.

Audit de sécurité

Examinez les tokens JWT pour vous assurer qu'ils ne contiennent pas d'informations excessives ou sensibles dans leur payload. Puisque les payloads JWT sont seulement encodés en Base64 (pas chiffrés), toute donnée dans le payload peut être lue par quiconque intercepte le token.

FAQ

Est-il sûr de coller mon JWT ici ?

Oui. Tout le décodage s'effectue localement dans votre navigateur. Aucune donnée n'est envoyée à un serveur.

Cet outil peut-il vérifier les signatures JWT ?

Cet outil décode et affiche le contenu des JWT. La vérification de la signature nécessite la clé secrète, qui n'est pas nécessaire pour l'inspection.

Quelle est la différence entre JWS et JWE ?

Les tokens JWS (JSON Web Signature) ont un payload signé mais lisible, ce que la plupart des gens entendent par JWT. Les tokens JWE (JSON Web Encryption) ont un payload chiffré qui ne peut être lu sans la clé de déchiffrement. Cet outil fonctionne avec les tokens JWS, qui sont de loin le type le plus courant en pratique.

Pourquoi puis-je lire le payload sans la clé secrète ?

Les payloads JWT sont encodés en Base64URL, pas chiffrés. La signature garantit uniquement que le token n'a pas été falsifié ; elle ne cache pas le contenu. C'est intentionnel, donc ne stockez jamais d'informations véritablement secrètes dans un payload JWT à moins d'utiliser le chiffrement JWE.

Quelles sont les revendications JWT courantes ?

Les revendications standard incluent iss (émetteur), sub (sujet/identifiant utilisateur), aud (audience), exp (temps d'expiration), nbf (pas avant), iat (émis à) et jti (identifiant JWT). Les applications ajoutent fréquemment des revendications personnalisées pour les rôles, les permissions et d'autres données spécifiques à l'application.

Outils Connexes

{ }

Formateur et Validateur JSON

Formatez, validez et embellissez vos données JSON instantanément.

B64

Encodage/Décodage Base64

Encodez et décodez des chaînes Base64 instantanément.

%20

Encodage/Décodage URL

Encodez et décodez des URL et des chaînes de requête instantanément.