Décodeur JWT
Décodez un JWT pour voir son en-tête et sa charge utile. Repère une déclaration exp expirée. La signature n'est PAS vérifiée.
Réponse rapide: Décodez un JWT pour voir son en-tête et sa charge utile. Repère une déclaration exp expirée. La signature n'est PAS vérifiée.
Dernière mise à jour
Questions fréquentes
- Comment puis-je décoder un JWT ?
- Collez le jeton et l'en-tête ainsi que la charge utile apparaissent immédiatement. Les revendications `iat`, `nbf` et `exp` sont affichées sous forme d'horodatages lisibles par l'homme.
- Cela vérifie-t-il la signature ?
- Non — et vous ne devez jamais faire confiance à un JWT décodé seul. Vérifiez toujours la signature côté serveur avec le secret ou la clé publique avant de faire confiance à une revendication.
- Comment savoir si un jeton est expiré ?
- Si la charge utile a une revendication `exp`, nous la comparons à l'heure actuelle et affichons 'Expiré' ou 'Non expiré' à côté de la charge utile.
- Que se passe-t-il si le jeton est mal formé ?
- Nous affichons une erreur amicale : un JWT doit avoir trois parties séparées par des points (header.payload.signature) et les deux premières doivent être des JSON encodés en base64url valides.
- Des caractères sûrs pour les URL sont-ils pris en charge ?
- Oui — le décodage en base64url (`-` pour `+`, `_` pour `/`, sans remplissage) est la norme JWT et nous y adhérons.
- Le jeton est-il envoyé quelque part ?
- Non. Le décodage se fait entièrement dans votre navigateur, donc même les jetons de production sont sûrs à coller.
- Qu'est-ce qu'il y a dans un en-tête JWT ?
- Généralement `alg` (algorithme de signature) et `typ` (toujours 'JWT'). Certains jetons ajoutent `kid` pour identifier quelle clé les a signés.
- Quelles sont les revendications de charge utile courantes ?
- `sub` (sujet), `iss` (émetteur), `aud` (audience), `iat` (émis à), `exp` (expire), `nbf` (pas avant). Les applications ajoutent également des revendications personnalisées.
- Pourquoi base64url est-il différent de base64 ?
- Les JWT circulent dans les URL et les en-têtes, donc ils remplacent `+`/`/` par `-`/`_` et suppriment le remplissage `=` pour rester sécurisés pour les URL.
- Ce décodeur JWT est-il gratuit ?
- Oui — gratuit, sans inscription, sans limites.