Decodeur JWT gratuit en ligne — Decoder, analyser et verifier les JSON Web Tokens
Bienvenue sur le decodeur JWT de Get-Tools, un outil gratuit et performant qui fonctionne directement dans votre navigateur pour decoder, analyser et verifier les JSON Web Tokens en un instant. Que vous soyez developpeur backend en train de debugger des flux d'authentification, ingenieur en securite auditant des controles d'acces, ou etudiant decouvrant l'authentification web moderne, cet outil met a votre disposition tout le necessaire pour comprendre le contenu d'un JWT sans installer de logiciel ni d'extension. Toutes les operations s'executent entierement dans votre navigateur, ce qui signifie que vos jetons ne quittent jamais votre appareil — un avantage majeur en matiere de confidentialite par rapport aux solutions basees sur un serveur.
Qu'est-ce qu'un JSON Web Token ?
Le JSON Web Token (JWT, prononce "djotte") est un standard ouvert defini dans la specification RFC 7519 pour transmettre des informations de maniere securisee entre deux parties sous forme d'un objet JSON compact et compatible URL. Les JWT sont largement utilises dans les systemes OAuth 2.0, OpenID Connect, l'authentification unique (SSO), les architectures de microservices et les applications mobiles communiquant avec des APIs REST. Un JWT se compose de trois parties encodees en Base64url et separees par des points : un en-tete, une charge utile et une signature.
Structure d'un JWT — Les trois parties
1. En-tete (Header)
L'en-tete est un petit objet JSON qui specifie le type de jeton (generalement "JWT") et l'algorithme de signature utilise, tel que HS256, RS256 ou ES256. Le choix de l'algorithme determine directement la maniere dont la signature est creee et verifiee. Les algorithmes symetriques comme HMAC utilisent une cle secrete partagee, tandis que les algorithmes asymetriques comme RSA et ECDSA utilisent une paire de cles publique-privee, plus adaptee aux systemes distribues ou le verificateur ne doit pas posseder la cle de signature.
2. Charge utile (Payload)
La charge utile contient les revendications (claims) — des informations sur l'utilisateur, l'autorite emettrice et le jeton lui-meme. On distingue trois categories : les claims enregistrees definies par la specification JWT (comme sub pour le sujet, iss pour l'emetteur, aud pour l'audience, exp pour l'expiration, iat pour la date d'emission et nbf pour "pas avant"), les claims publiques enregistrees dans le registre IANA, et les claims privees convenues entre les parties. Les claims temporelles sont particulierement importantes car elles controlent la validite du jeton dans le temps.
3. Signature
La signature est generee en appliquant l'algorithme specifie dans l'en-tete sur l'en-tete et la charge utile encodes, combines avec une cle secrete ou une cle privee. Lorsque le destinataire recoit le jeton, il peut recalculer la signature avec la cle correspondante et la comparer a celle du jeton. Si elles correspondent, le jeton est authentique et n'a pas ete modifie. C'est le mecanisme fondamental qui rend JWT fiable pour l'authentification sans etat (stateless).
Comment fonctionne le decodeur JWT de Get-Tools
Lorsque vous collez un JWT dans le champ de saisie, l'outil le divise instantanement en ses trois parties et attribue un code couleur a chacune : orange pour l'en-tete, vert pour la charge utile et violet pour la signature. Il decode ensuite le Base64url de l'en-tete et de la charge utile et affiche le contenu JSON dans un format structure et lisible. Les claims temporelles comme exp, iat et nbf sont automatiquement detectees et converties en dates lisibles, avec un badge en temps reel indiquant si le jeton est encore valide ou deja expire.
Fonctionnalites principales
- Decodage en temps reel : les resultats s'affichent au fur et a mesure de la saisie
- Parties du jeton colorees : en-tete, charge utile et signature visuellement distinctes
- Analyse des claims temporelles : detection automatique de
exp,iatetnbfavec badges de validite - Verification de signature : prise en charge de HMAC, RSA, RSA-PSS et ECDSA
- Copie en un clic : boutons dedies pour copier le header et le payload en JSON
- Jeton exemple : un JWT integre avec sa cle secrete pour un test rapide
- Confidentialite totale : tout le traitement se fait dans votre navigateur — aucune donnee n'est envoyee a un serveur
Algorithmes pris en charge
L'outil supporte les algorithmes de signature JWT les plus repandus via la Web Crypto API : HMAC avec SHA-256, SHA-384 et SHA-512 pour la signature symetrique ; RSASSA-PKCS1-v1_5 et RSA-PSS pour la signature asymetrique RSA ; et ECDSA avec les courbes P-256, P-384 et P-521. Pour HMAC, saisissez simplement la cle secrete partagee. Pour RSA et ECDSA, telechargez la cle publique au format PEM.
Considerations de securite
N'oubliez pas que le JWT est encode en Base64 et non chiffre — quiconque possede le jeton peut lire son contenu. N'incluez jamais de mots de passe, de numeros de carte bancaire ou d'autres donnees sensibles dans la charge utile d'un JWT. Transmettez toujours les jetons via HTTPS, definissez des durees d'expiration courtes pour les jetons sensibles, effectuez une rotation reguliere des cles de signature et privilegiez les algorithmes asymetriques comme RS256 ou ES256 en production.