Passer au contenu
Logo de CrateX.app

CrateX.app

Décodeur JWT

Décodez localement les JWT standard en trois parties, inspectez le JSON formaté du Header et du Payload, copiez la Signature brute et consultez exp/nbf/iat sans vérification.

Texte d’entrée

Caractères

0 / 16,000

Remarque: cet outil décode et affiche seulement le token. Il ne vérifie pas la signature; les claims décodés peuvent être falsifiés tant qu’un backend fiable ne les a pas validés.
Décodeur JWT

Démarrage rapide

1
Collez le JWT complet avec trois parties séparées par des points.
2
Lisez le JSON Header et Payload; Signature s’affiche brute, sans vérification.
3
Vérifiez exp/nbf/iat avec l’heure locale et UTC.
4
Copiez la partie utile; effacez les tokens sensibles à la fin.

Scénarios courants

Débogage API

inspecter rapidement le contenu du token et comparer les claims

Expiration

inspecter exp et nbf pour voir si le token est expiré ou pas encore actif

Apprendre JWT

Comprendre la structure Header/Payload et l'encodage Base64URL

Comparaison d'environnements

Comparer les tokens entre dev/test/prod

Conseils d'utilisation

Le payload décodé est lisible, mais non fiable. Les systèmes de production doivent vérifier la signature et valider iss, aud, sub, scope et les règles de révocation côté backend.
Évitez de coller des tokens avec des données sensibles sur des appareils publics
Les champs temporels sont des timestamps Unix (secondes); l’outil les convertit en heure locale et UTC

Contrat de décodage

L’entrée doit être un JWT compact en trois parties au format header.payload.signature. Les tokens JWE en cinq parties et les formats personnalisés sont hors du périmètre de ce décodeur.
Header et Payload sont décodés en UTF-8 via Base64URL, puis analysés comme JSON. Si l’une des parties n’est pas un Base64URL ou un JSON valide, l’entrée d’origine reste en place et l’erreur correspondante s’affiche.
Le panneau Signature affiche uniquement le troisième segment brut. Aucune vérification par secret, clé publique, JWK, JWKS ou Web Crypto n’est effectuée ici.

Limite de sécurité

Le décodage JWT s’exécute localement dans le navigateur. L’entrée du token peut rester comme brouillon du navigateur. Si un espace de travail enregistré ou la synchronisation WebDAV est activé, l’entrée du token peut être enregistrée via cette synchronisation. Les données affichées de Header, Payload, Signature, les cartes de temps des claims, les erreurs d’analyse, l’état de copie et l’historique d’annulation sont dérivés du token actuel et ne sont pas enregistrés comme données de résultat séparées. Cet outil ne vérifie pas les signatures, ne récupère pas de JWKS ni d’URL, ne téléverse pas de tokens, ne crée pas de pièces jointes et ne crée pas de téléchargement de fichier décodé. Sur un appareil partagé, effacez le token et les données du site une fois terminé.
Si le jeton contient des informations sensibles, utilisez un appareil privé et effacez l'entrée après inspection.
Le décodage rend seulement les claims lisibles. Il ne prouve pas que le token a été émis par votre serveur, accepté par une API ou digne de confiance.
alg, kid, iss, aud, sub, scope, roles et jti sont affichés comme de simples champs JSON. Validez-les avec votre backend, les métadonnées issuer, les clés, les règles d’audience et la politique de révocation.
Le statut temporel utilise exp et nbf avec votre horloge locale. Le clock skew serveur, les périodes de grâce, la révocation de session et l’état du refresh token peuvent changer le résultat réel.
Non pris en charge ici : vérification de signature, saisie de secret ou de clé publique, recherche JWK/JWKS, OIDC discovery, OAuth introspection, déchiffrement JWE, analyse de JWT imbriqué, génération de token et validation côté serveur.

Limitations et compatibilité

Décodage Base64URL uniquement — pas de vérification de signature
Seul le JWT standard en 3 parties est supporté; JWE ou formats personnalisés non supportés
Les JWT imbriqués (JWT dans le payload) ne sont pas traités
Le statut temporel ne constitue pas un contrôle complet de la validité. Un jeton peut ne pas avoir expiré et être néanmoins rejeté par le serveur.
Cette page propose uniquement des actions de copie. Elle ne télécharge, n’exporte, n’enregistre ni ne partage de fichiers de token décodés.

Confidentialité & sécurité

Le décodage JWT s’exécute localement dans le navigateur. L’entrée du token peut rester comme brouillon du navigateur. Si un espace de travail enregistré ou la synchronisation WebDAV est activé, l’entrée du token peut être enregistrée via cette synchronisation. Les données affichées de Header, Payload, Signature, les cartes de temps des claims, les erreurs d’analyse, l’état de copie et l’historique d’annulation sont dérivés du token actuel et ne sont pas enregistrés comme données de résultat séparées. Cet outil ne vérifie pas les signatures, ne récupère pas de JWKS ni d’URL, ne téléverse pas de tokens, ne crée pas de pièces jointes et ne crée pas de téléchargement de fichier décodé. Sur un appareil partagé, effacez le token et les données du site une fois terminé.
Si le jeton contient des informations sensibles, utilisez un appareil privé et effacez l'entrée après inspection.

FAQ

6

Poursuivez avec ces outils associés pour l’étape suivante.

À propos

À propos de nous
Tarifs

Légal

Conditions d'utilisation
Politique de confidentialité
Politique de cookies

Préférences

Gérer les cookies

Tout le traitement des outils s'effectue localement dans votre navigateur.