Monu Tools

Décodeur JWT

Décodez un JSON Web Token pour inspecter son en-tête et sa charge utile, avec des heures d'expiration et d'émission lisibles. S'exécute entièrement dans votre navigateur ; les tokens ne sont jamais envoyés.

Comment utiliser l'outil Décodeur JWT

  1. 01

    Collez un JWT sous la forme en-tête.charge.signature.

  2. 02

    Lisez l'en-tête et la charge utile décodés en JSON formaté.

  3. 03

    Vérifiez les heures d'expiration et d'émission, et si le token a expiré.

Ce qu'un décodeur JWT vous montre

Un jeton JWT (JSON Web Token) comporte trois parties séparées par des points : un en-tête encodé en Base64URL, une charge utile encodée en Base64URL et une signature. Ce décodeur découpe et décode les deux premières parties instantanément dans votre navigateur, afin que vous puissiez lire ce qu'un jeton contient réellement.

L'usage le plus courant consiste à inspecter un jeton renvoyé par une API : qui l'a émis (iss), quand il expire (exp), quelles permissions il porte (scope ou roles) et s'il a déjà expiré.

Comment fonctionne le décodage

L'outil prend les segments de l'en-tête et de la charge utile et décode leur contenu Base64URL pour le ramener à du JSON lisible. Rien n'est envoyé nulle part : le découpage et le décodage se font localement dès que vous collez un jeton.

Lire l'expiration et les horodatages

L'expiration est affichée en heure locale lisible, et non sous forme d'horodatage Unix brut, ce qui vous permet de voir d'un coup d'oeil si le jeton est toujours valide. Il en va de même pour les autres attributs temporels comme iat et nbf, qui deviennent des dates réellement interprétables.

Décoder n'est pas vérifier

Cet outil décode et affiche, il ne vérifie pas la signature par rapport à une clé secrète. N'importe qui peut lire la charge utile d'un JWT sans clé, car seule la signature est protégée, pas le contenu.

Pour vérifier une signature, il vous faut le secret de signature ou la clé publique, qui ne devraient jamais être saisis dans un outil basé sur le navigateur. Ne collez pas de secrets ici.

Confidentialité

Le jeton ne quitte jamais votre appareil. Tout le décodage s'exécute dans votre navigateur, donc rien de ce que vous collez n'est téléversé ni stocké.

Questions fréquentes

Vérifie-t-il la signature ?

Non. Il décode et affiche l'en-tête et la charge utile. La vérification de la signature nécessite le secret de signature ou la clé publique, que vous ne devriez pas coller dans un outil web.

Quelle est la différence entre décoder et vérifier ?

Le décodage lit l'en-tête et la charge utile en Base64url, qui ne sont pas chiffrés. La vérification recalcule la signature avec la clé pour prouver que le token est authentique et non modifié.

Est-il sûr de coller mon token ici ?

Le décodage se fait entièrement dans votre navigateur, donc le token n'est pas envoyé. Cependant, traitez les tokens actifs comme des secrets et évitez de les coller sur des ordinateurs partagés.

Que signifient exp, iat et nbf ?

Ce sont des claims standards : iat est la date d'émission (issued-at), nbf est la date de début de validité (not-valid-before), et exp est la date d'expiration. Le décodeur convertit ces timestamps Unix en heure locale lisible.

Puis-je décoder un token expiré ?

Oui. L'expiration ne change pas la façon dont un token est décodé, vous pouvez donc inspecter les claims d'un token expiré et voir exactement quand il a expiré.

Pourquoi ma charge utile est-elle lisible sans clé ?

Un JWT est signé, pas chiffré. La charge utile est uniquement encodée en Base64url, donc n'importe qui peut la lire. Ne mettez jamais de secrets dans une charge utile JWT.

Sources

Intégrer cet outil

Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.

<iframe src="https://monu.tools/embed/fr/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Outils similaires