Décodeur JWT gratuit et 100 % local : décodez votre token JSON Web Token, affichez header, payload, claims courants et statut d'expiration. Aucune donnée envoyée.
Un JWT (JSON Web Token) est un format ouvert (RFC 7519) permettant de transmettre des informations de manière sécurisée entre parties sous forme de JSON. Il se compose de trois parties encodées en Base64Url séparées par des points : le header (algorithme), le payload (données/claims) et la signature.
Le header et le payload d'un JWT sont simplement encodés en Base64Url, pas chiffrés. N'importe qui peut les décoder et lire leur contenu. Seule la vérification de la signature nécessite la clé secrète (HMAC) ou la clé publique (RSA/ECDSA). Notre décodeur affiche header et payload mais n'effectue pas la vérification de signature.
Les claims standards (claims enregistrés) incluent : iss (émetteur), sub (sujet/utilisateur), aud (audience), exp (date d'expiration en timestamp Unix), nbf (valide à partir de), iat (date d'émission) et jti (identifiant unique du token). Les autres claims sont personnalisés selon l'application.
Le claim exp contient un timestamp Unix (secondes depuis le 1er janvier 1970) représentant la date d'expiration. Si cette valeur est inférieure à l'heure actuelle, le token est expiré. Les tokens ont généralement une durée de vie courte (15 min à 1h) pour des raisons de sécurité. Pour obtenir un nouveau token, vous devez vous ré-authentifier ou utiliser un refresh token.
Oui. Notre décodeur fonctionne entièrement dans votre navigateur (JavaScript côté client). Aucune donnée n'est envoyée à un serveur externe. Cependant, attention à ne jamais partager un JWT valide dans une interface tierce non contrôlée, car le payload peut contenir des informations sensibles (ID utilisateur, rôles, etc.).