Qu'est-ce que Décodeur JWT et Inspecteur de Revendications ?
Un décodeur JWT basé sur le navigateur qui décode l'en-tête et le payload des JSON Web Tokens sans envoyer de données. Inspectez les revendications comme sub, iat, exp et nbf avec conversion automatique des horodatages en dates lisibles. L'outil vous avertit des algorithmes non sécurisés (alg: none) et explique l'état de vérification de la signature.
Réponse rapide
Collez un jeton JWT pour décoder son en-tête et son payload. Les horodatages (iat, exp, nbf) sont automatiquement convertis en dates lisibles. Tout le décodage est local – votre jeton n'est jamais téléchargé.
Limites
- Ne vérifie pas les signatures JWT – cet outil est uniquement pour inspection, pas pour validation de sécurité. Ne faites jamais confiance aux revendications décodées sans vérification côté serveur.
- Ne peut pas décoder les JWT chiffrés (JWE) – seuls les JWT signés (JWS) avec des payloads encodés en base64url sont pris en charge.
- La conversion des horodatages utilise le fuseau horaire local du navigateur – l'heure affichée peut différer du fuseau horaire du serveur.
Comment utiliser cet outil
- Collez votre jeton JWT dans la zone de saisie.
- Examinez l'en-tête décodé (algorithme, type) et le payload (revendications).
- Vérifiez les champs d'horodatage pour l'expiration et la date d'émission au format lisible.
- Notez tout avertissement de sécurité concernant les algorithmes faibles.
A quoi il sert
- Inspectez rapidement un JWT d'une réponse API pour vérifier l'ID utilisateur, les rôles et la date d'expiration.
- Déboguez un flux d'authentification en vérifiant si le jeton a expiré ou contient les revendications attendues.
- Vérifiez l'algorithme du jeton avant d'implémenter la vérification côté serveur.