Décodez un JSON Web Token pour inspecter son en-tête et sa charge utile, avec des heures d'expiration et d'émission lisibles. S'exécute entièrement dans votre navigateur ; les tokens ne sont jamais envoyés.
Comment utiliser l'outil Décodeur JWT
Collez un JWT sous la forme en-tête.charge.signature.
Lisez l'en-tête et la charge utile décodés en JSON formaté.
Vérifiez les heures d'expiration et d'émission, et si le token a expiré.
Un jeton JWT (JSON Web Token) comporte trois parties séparées par des points : un en-tête encodé en Base64URL, une charge utile encodée en Base64URL et une signature. Ce décodeur découpe et décode les deux premières parties instantanément dans votre navigateur, afin que vous puissiez lire ce qu'un jeton contient réellement.
L'usage le plus courant consiste à inspecter un jeton renvoyé par une API : qui l'a émis (iss), quand il expire (exp), quelles permissions il porte (scope ou roles) et s'il a déjà expiré.
L'outil prend les segments de l'en-tête et de la charge utile et décode leur contenu Base64URL pour le ramener à du JSON lisible. Rien n'est envoyé nulle part : le découpage et le décodage se font localement dès que vous collez un jeton.
L'expiration est affichée en heure locale lisible, et non sous forme d'horodatage Unix brut, ce qui vous permet de voir d'un coup d'oeil si le jeton est toujours valide. Il en va de même pour les autres attributs temporels comme iat et nbf, qui deviennent des dates réellement interprétables.
Cet outil décode et affiche, il ne vérifie pas la signature par rapport à une clé secrète. N'importe qui peut lire la charge utile d'un JWT sans clé, car seule la signature est protégée, pas le contenu.
Pour vérifier une signature, il vous faut le secret de signature ou la clé publique, qui ne devraient jamais être saisis dans un outil basé sur le navigateur. Ne collez pas de secrets ici.
Le jeton ne quitte jamais votre appareil. Tout le décodage s'exécute dans votre navigateur, donc rien de ce que vous collez n'est téléversé ni stocké.
Questions fréquentes
Non. Il décode et affiche l'en-tête et la charge utile. La vérification de la signature nécessite le secret de signature ou la clé publique, que vous ne devriez pas coller dans un outil web.
Le décodage lit l'en-tête et la charge utile en Base64url, qui ne sont pas chiffrés. La vérification recalcule la signature avec la clé pour prouver que le token est authentique et non modifié.
Le décodage se fait entièrement dans votre navigateur, donc le token n'est pas envoyé. Cependant, traitez les tokens actifs comme des secrets et évitez de les coller sur des ordinateurs partagés.
Ce sont des claims standards : iat est la date d'émission (issued-at), nbf est la date de début de validité (not-valid-before), et exp est la date d'expiration. Le décodeur convertit ces timestamps Unix en heure locale lisible.
Oui. L'expiration ne change pas la façon dont un token est décodé, vous pouvez donc inspecter les claims d'un token expiré et voir exactement quand il a expiré.
Un JWT est signé, pas chiffré. La charge utile est uniquement encodée en Base64url, donc n'importe qui peut la lire. Ne mettez jamais de secrets dans une charge utile JWT.
Intégrer cet outil
Ajoutez cet outil à votre propre site web. Copiez le code ci-dessous. Il reste à jour automatiquement.
<iframe src="https://monu.tools/embed/fr/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Outils similaires
Encodez du texte en Base64 ou décodez du Base64 en texte. Compatible UTF-8 avec détection automatique de la direction.
Encodez et décodez les URLs et composants d'URL en percent-encoding, compatible UTF-8.
Générez des hachages SHA-1, SHA-256, SHA-384 et SHA-512 de n'importe quel texte, directement dans votre navigateur.
Générez un HMAC pour un message et une clé secrète en utilisant SHA-1, SHA-256, SHA-384 ou SHA-512, dans votre navigateur.