Comment utiliser cet outil ?
- Collez votre token JWT dans le champ de saisie — par coller ou glisser-déposer.
- Header et payload apparaissent immédiatement comme JSON formaté.
- Les timestamps sont automatiquement convertis en dates UTC lisibles.
- L'état d'expiration vous montre si le token est encore valide, expiré ou pas encore actif.
Que fait le decoder ?
Le JWT Decoder prend une chaîne JWT complète et la décompose en ses trois éléments : header, payload et signature. Les deux premiers segments sont décodés via Base64url et présentés comme JSON indenté. Le troisième segment (la signature) n’est délibérément pas vérifié — pour cela il faudrait la clé secrète, qui reste sur le serveur.
En plus, le decoder reconnaît les claims timestamp (iat, exp, nbf) et convertit les timestamps Unix en dates UTC lisibles. Un champ statut montre d’un coup d’œil si le token est valide, expiré ou pas encore actif.
Quelle est la formule de conversion ?
Le décodage JWT travaille au niveau chaîne, pas au niveau cryptographique. L’algorithme :
- La chaîne JWT est divisée en trois segments au point (
.). - Les caractères URL-safe sont reconvertis :
-devient+,_devient/. - Les caractères de padding Base64 manquants (
=) sont ajoutés. - Le résultat est décodé via
atob()en une chaîne binaire et parsé comme JSON UTF-8.
Exemple : le segment eyJhbGciOiJIUzI1NiJ9 se décode en {"alg":"HS256"}. La formule ceil(n / 3) * 4 décrit la longueur Base64 — au décodage elle tourne à l’envers.
Quels exemples d’application ?
| Scénario | Ce que le decoder montre |
|---|---|
| Débogage API | algorithme du header (HS256, RS256) et claims payload en clair |
| Vérifier expiration token | claim exp comme date plus statut de validité |
| Recherche d’erreur OAuth | extraire scopes, issuer et audience du payload |
| Onboarding développeur | comprendre la structure d’un JWT, sans devoir écrire de code |
| Logs pipeline CI/CD | vérifier rapidement le contenu d’un token, sans jq ni outils CLI |
Les JWT sont codés en Base64url, pas chiffrés. N’importe qui peut lire le contenu — les données sensibles n’ont jamais leur place non chiffrées dans le payload.
Quels domaines d’usage ?
Authentification API et OAuth 2.0 — la plupart des API REST utilisent les JWT comme bearer tokens dans le header Authorization. Les développeurs les décodent pour vérifier des claims comme sub (Subject), iss (Issuer) et aud (Audience), avant de lancer la recherche d’erreur sur le serveur.
Single-Sign-On (SSO) — les identity providers comme Auth0, Keycloak ou Azure AD livrent des JWT après authentification réussie. Le decoder aide à inspecter les rôles et permissions contenus, sans avoir à refaire tout le flux SSO.
Communication microservice — dans les architectures service-mesh, les JWT portent des claims entre services. Quand un service renvoie un 401 ou 403, le token décodé montre souvent immédiatement quel claim manque ou est expiré.
Questions fréquentes
Les réponses aux questions principales se trouvent dans le bloc FAQ ci-dessus — elles sont diffusées comme JSON-LD structuré (FAQPage) pour les moteurs de recherche.
Quels outils dev sont liés ?
Autres outils de l’écosystème convertisseur qui collent au sujet :
- Base64 Encoder — encoder du texte en Base64, le format de base derrière les segments JWT.
- JSON Formatter — formater du code JSON brut avec indentation, lisiblement, et valider.
- Hash Generator — générer SHA-256 et autres hashes, comme ceux utilisés dans les signatures JWT.
Dernière mise à jour :