Décodeur JWT

Décodez localement l’en-tête et la payload d’un JSON Web Token. Lire les claims ne vérifie pas la signature.

token.jwt
decoded.json
Colle un JWT pour décoder son header et payload. Le décodage ne vérifie pas la signature.

Connexes

Guides pour JWT Decode

Tous les guides →
Guide

Privacy: JSON Tools That Don't Leave Your Browser

JSON, JWT, and Base64 tools that process every byte locally in your browser tab — no upload endpoint, no server-side logs of pasted payloads.

Guide

Comment décoder des chaînes Base64 (et des payloads JWT)

Base64 est un encodage réversible, pas du chiffrement. Décodez-le en une étape, gérez Unicode correctement et lisez les sections JWT qui utilisent Base64url.

Guide

Validez le JSON avant les requêtes API

Une passe de validation rapide avant d’envoyer une requête API permet de séparer les problèmes de syntaxe JSON des erreurs d’authentification, de schéma et de back-end.

Décoder un JSON Web Token (JWT)

Un JWT se compose de trois segments encodés en Base64url et reliés par des points : header.payload.signature. Collez le jeton, cliquez sur Decode et lisez le header et le payload sous forme de JSON. Tout le traitement a lieu dans votre navigateur —— le jeton n’est jamais envoyé à un serveur, ce qui compte car les JWT portent souvent des claims liés à l’identité et à la session.

Que vous cherchiez decode jsonwebtoken (un seul mot), jwt decode ou json web token decoder, l’outil suit la même procédure : découpe sur les points, décode les deux premiers segments en Base64url et affiche le résultat en JSON.

Décoder n’est pas vérifier

N’importe qui peut décoder un JWT —— aucune clé n’est nécessaire car le payload est encodé, pas chiffré. Le décodage indique simplement ce que le jeton prétend ; il ne prouve pas son authenticité. Vérifiez toujours la signature côté serveur avec votre clé secrète ou publique avant de faire confiance aux claims, et ne placez jamais de mots de passe ou de secrets dans un payload JWT.

Claims courants

  • iss émetteur · sub sujet · aud audience
  • exp expiration · iat émis le · nbf non avant (horodatages Unix)

Pour plus de détails, consultez Comment décoder un JWT et Pourquoi Base64 n’est pas du chiffrement. Pour inspecter manuellement chaque segment, utilisez le décodeur Base64.

FAQ

Cet outil vérifie-t-il la signature du JWT ?

Non. Le décodage montre uniquement ce que le jeton prétend ; il ne prouve rien quant à l’authenticité. Vérifiez toujours la signature côté serveur avec votre clé secrète ou publique avant de faire confiance aux claims, et ne stockez jamais d’informations sensibles dans un payload JWT.