Décodeur JWT

Un JWT (JSON Web Token) est un jeton compact, sécurisé par une URL, utilisé pour l'authentification et l'échange d'informations entre les parties. Le décodage d'un JWT permet de visualiser l'en-tête (type de jeton et algorithme), la charge utile (revendications et données utilisateur) et la signature. Les développeurs décodent les JWT pour déboguer les problèmes d'authentification, inspecter les autorisations des utilisateurs ou comprendre le contenu des jetons pendant le développement.

Il vous suffit de coller votre jeton JWT dans le champ de saisie et de cliquer sur "Décoder JWT". L'outil analyse immédiatement le jeton et affiche l'en-tête et la charge utile au format JSON lisible. Vous verrez toutes les revendications, les délais d'expiration, les informations sur l'émetteur et toutes les données personnalisées stockées dans le jeton.

Non, ce décodeur n'affiche que le contenu de l'en-tête et de la charge utile du JWT - il ne vérifie pas la signature. La vérification de la signature nécessite la clé secrète ou la clé publique, qui ne doit jamais être partagée ou saisie dans des outils en ligne. Pour des raisons de sécurité, vérifiez toujours les JWT côté serveur à l'aide de bibliothèques appropriées et de vos clés secrètes.

Un JWT décodé indique généralement : le type de jeton et l'algorithme de signature dans l'en-tête ; et des revendications telles que "iss" (émetteur), "sub" (sujet), "aud" (audience), "exp" (heure d'expiration), "iat" (émis à), et toute autre revendication personnalisée dans la charge utile. Ces informations vous aident à comprendre qui a émis le jeton, quand il expire et quelles sont les autorisations ou les données qu'il contient.

Le décodage des JWT côté client est généralement sûr, car les JWT sont conçus pour être lisibles par n'importe qui - ils sont codés en base64, et non cryptés. Toutefois, ne décodez jamais des JWT contenant des données très sensibles à l'aide d'outils publics en ligne. Cet outil traite les jetons entièrement dans votre navigateur sans envoyer de données aux serveurs, mais évitez de l'utiliser avec des jetons de production contenant des informations sensibles.

Les JWT suivent une structure standard composée de trois parties codées en base64 et séparées par des points : header.payload.signature. L'en-tête décrit le type de jeton et l'algorithme, la charge utile contient les revendications et les données, et la signature garantit que le jeton n'a pas été altéré. Cette structure permet aux JWT d'être compacts et de s'adapter à l'URL tout en maintenant la sécurité.

Les JWT décodés contiennent une revendication "exp" (expiration), qui est un horodatage Unix. Comparez cet horodatage à l'heure actuelle - si l'heure actuelle est supérieure à la valeur exp, le jeton a expiré. Le décodeur affiche cet horodatage dans un format lisible pour vous aider à vérifier la validité du jeton.

La mention "iat" (issued at) indique la date de création du jeton, la mention "exp" (expiration time) indique la date d'expiration et la mention "nbf" (not before) précise la date à laquelle le jeton devient valide. Ces horodatages permettent de contrôler le cycle de vie des jetons et d'empêcher leur réutilisation sur des périodes différentes.

Oui ! Les jetons d'accès OAuth 2.0 et les jetons d'identification OpenID Connect utilisent souvent le format JWT. Leur décodage révèle les portées, les autorisations, les identifiants d'utilisateur et les détails de l'authentification. Ces informations sont précieuses pour déboguer les flux d'authentification, vérifier les autorisations accordées et résoudre les problèmes d'intégration.