Décodeur JWT

Collez un token JWT pour décoder son en-tête et son payload. Sans vérification de signature.

Bonnes Pratiques d'Inspection JWT


Décoder un token aide à inspecter les claims lors du débogage d'authentification, mais décoder seul ne prouve pas l'authenticité.

  • Vérifiez les horodatages exp et nbf avant de tester les routes protégées.
  • Vérifiez les valeurs aud, iss et sub par rapport aux paramètres d'environnement attendus.
  • Traitez les données du payload décodé comme non fiables jusqu'à ce que la vérification de signature réussisse.

FAQ du Décodeur JWT


Le décodage vérifie-t-il la signature du token ?

Non. Le décodage lit uniquement les segments du token et ne valide pas l'authenticité.

Pourquoi exp et iat ressemblent-ils à de grands nombres ?

Les claims de temps JWT sont des horodatages Unix, généralement en secondes depuis l'epoch.

Puis-je partager des payloads décodés en toute sécurité ?

Uniquement si les claims ne contiennent pas de données sensibles. Les tokens peuvent inclure des informations privées.

Wikipedia — JSON Web Token