PixConvert

Décodeur JWT

Collez un jeton JWT pour décoder et inspecter instantanément son en-tête, sa charge utile et sa signature, le tout dans votre navigateur.

JWT Token

Pourquoi utiliser le décodeur JWT PixConvert ?

Inspection des jetons sans risque. Vos jetons ne quittent jamais votre appareil.

Décodage instantané

L'en-tête et le contenu sont décodés instantanément lors du collage. Aucun bouton requis.

Risque réseau nul

Le décodage JWT consiste uniquement en une analyse d'URL base64 côté client. Les jetons ne quittent jamais votre navigateur.

Détection de péremption

Détecte automatiquement les réclamations exp, iat et nbf et affiche des horodatages lisibles par l'homme avec le statut expiré/actif.

Affichage de l'algorithme

Affiche l'algorithme de signature (RS256, HS256, ES384, etc.) à partir de l'en-tête.

JSON formaté

La charge utile est affichée sous forme de JSON formaté pour faciliter la lecture et la copie.

Réclamations de copie

Copiez l'intégralité du JSON de la charge utile en un seul clic pour la coller dans des environnements de test ou des sessions de débogage.

Quand vous avez besoin d'un décodeur JWT

Le débogage des flux d'authentification est plus rapide lorsque vous pouvez visualiser instantanément le contenu des jetons.

Débogage d'API

Examinez les jetons Bearer dans les en-têtes d'autorisation pour comprendre les revendications reçues par votre API.

  • Décoder les jetons d'accès
  • Vérifier les rôles et les autorisations des utilisateurs
  • Vérifiez les dates de péremption

Développement OAuth et OIDC

Décodez les jetons d'identification et les jetons d'accès lors de l'intégration d'OAuth 2.0 et d'OpenID Connect.

  • Inspecter les revendications id_token
  • Vérifier les champs sous-titres et e-mail
  • Vérifiez l'expiration du jeton et le nbf

Audit de sécurité

Examiner l'algorithme et les revendications JWT dans le cadre d'une évaluation de sécurité — côté client, donc aucune exposition du jeton.

  • Détecter les algorithmes faibles (aucun, HS256)
  • Vérifier l'étendue de la réclamation
  • Examiner la durée de vie du jeton

Comment décoder un jeton JWT

1

Collez votre jeton JWT dans le champ de saisie. Le décodeur le divise en points et décode chaque partie en base64url.

2

L'en-tête et la charge utile apparaissent au format JSON. Les revendications standard (exp, iat, sub) sont mises en évidence par des étiquettes lisibles par l'humain.

3

Examinez le segment de signature et détectez les jetons expirés en un coup d'œil — tout le décodage s'effectue localement, jamais sur nos serveurs.

Explorer plus d'outils

Découvrez d'autres outils gratuits qui fonctionnent parfaitement en complément de celui-ci.

utility

Encodeur Base64

Encoder et décoder des chaînes Base64

Try it
utility

Formateur JSON

Formatez, validez et minifiez instantanément le JSON

Try it
utility

Générateur de hachage

Générer des hachages MD5, SHA-1 et SHA-256

Try it
utility

Encodeur d'URL

Encoder et décoder les composants d'URL

Try it
utility

Générateur de mots de passe

Générez des mots de passe forts et aléatoires

Try it
utility

Générateur d'UUID

Générer des UUID et ULID v4

Try it

Foire aux questions

Explication du décodage JWT.

Est-il sûr de coller un jeton JWT ici ?

L'en-tête et la charge utile d'un JWT sont encodés en base64url, et non chiffrés ; ils sont donc lisibles par toute personne possédant le jeton. Les décoder ici revient à les décoder dans votre propre code. La clé secrète utilisée pour la vérification de la signature n'est jamais décodée ni nécessaire. Toutefois, traitez les JWT comme des mots de passe : ne collez jamais de jetons de production dans des outils non fiables.

Cela permet-il de vérifier la signature JWT ?

Non. La vérification de signature requiert la clé secrète (HMAC) ou la clé publique (RSA/ECDSA), que vous ne devez jamais partager avec un outil tiers. Ce décodeur lit uniquement l'en-tête et la charge utile (les deux premiers segments), qui sont publics par conception.

Qu'est-ce que la réclamation exp ?

L'attribut exp (expiration) correspond à un horodatage Unix (en secondes depuis l'époque Unix) après lequel le jeton devient invalide. Cet outil le convertit en une date lisible et indique si le jeton est actuellement actif ou expiré.

Quelle est la différence entre access_token et id_token ?

Dans OAuth 2.0/OIDC : le jeton d’accès autorise les appels API et est opaque ou de type JWT. Le jeton d’identification est toujours un JWT et contient des informations d’identité (sub, email, nom). Ces deux jetons peuvent être décodés ici.

Pourquoi la signature ressemble-t-elle à des caractères aléatoires ?

La signature est un hachage cryptographique de l'en-tête et de la charge utile, signé avec la clé secrète ou privée de l'émetteur. Il s'agit de données binaires encodées en base64url ; elles ne sont pas destinées à être lisibles par un humain. Leur but est la vérification, et non l'inspection.