Décodeur / Inspecteur / Validateur JWT
Décodez, inspectez et vérifiez les tokens JWT — header, payload, claims et signatures HMAC. Tout fonctionne dans votre navigateur
| Claim | Valeur | Signification | Status |
|---|
Vérification de signature RSA et EC
La vérification de signature RSA et EC nécessite l'importation de clés publiques via l'API Web Crypto. Cette fonctionnalité est prévue pour une mise à jour future.
Pour les tokens basés sur HMAC (HS256, HS384, HS512), la vérification complète de signature est disponible maintenant en utilisant l'option Secret HMAC.
Vérification de signature RSA et EC
La vérification de signature RSA et EC nécessite l'importation de clés publiques via l'API Web Crypto. Cette fonctionnalité est prévue pour une mise à jour future.
Pour les tokens basés sur HMAC (HS256, HS384, HS512), la vérification complète de signature est disponible maintenant en utilisant l'option Secret HMAC.
Qu'est-ce qu'un JWT ?
Un JSON Web Token (JWT) est un format de token compact et sûr pour les URL, permettant de transmettre des informations de manière sécurisée entre les parties. Il se compose de trois parties encodées en Base64URL séparées par des points.
Header
Le header contient généralement deux champs : l'algorithme de signature (alg) et le type de token (typ).
Payload (Claims)
Le payload contient des claims — des déclarations sur l'utilisateur et les métadonnées. Les claims standard incluent :
| Claim | Nom | Description |
|---|---|---|
iss | Émetteur | Qui a émis le token |
sub | Sujet | De qui parle le token |
aud | Audience | Destinataire prévu du token |
exp | Expiration | Quand le token expire (horodatage Unix en secondes) |
nbf | Pas Avant | Le token n'est pas valide avant cette heure |
iat | Émis Le | Quand le token a été créé |
jti | JWT ID | Identifiant unique du token |
Signature
La signature est créée en encodant le header et le payload, en les joignant avec un point et en signant avec l'algorithme spécifié dans le header.
base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret
)
Idées Reçues Courantes
Bonnes Pratiques de Sécurité
Tips
Décoder Ne Signifie Pas Faire Confiance
N'importe qui peut décoder un JWT — Base64URL n'est pas du chiffrement. Le décodage révèle le contenu, mais seule la vérification de signature prouve que le token n'a pas été falsifié.
Vérifiez l'Expiration Avant Utilisation
Le claim exp (expiration) est un horodatage Unix en secondes. Vérifiez toujours qu'il est dans le futur avant de faire confiance à un token. Cet outil affiche l'état temporel instantanément.
alg: none Est un Risque de Sécurité
L'algorithme "none" signifie que le token n'a pas de signature. L'accepter en production peut permettre aux attaquants de falsifier des tokens. Rejetez toujours alg: none sur votre serveur.
Les JWT Ne Sont Pas Chiffrés par Défaut
Les JWT standard (JWS) sont uniquement signés, pas chiffrés. Le payload est lisible par quiconque possède le token. Ne stockez jamais de mots de passe, numéros de carte de crédit ou autres secrets dans un payload JWT.
Cas d'utilisation courants
Débogage d'API
Collez les tokens d'accès des réponses API pour inspecter rapidement les claims, vérifier l'expiration et vérifier l'émetteur sans quitter votre navigateur.
Test de Flux d'Authentification
Décodez les tokens à chaque étape des flux OAuth2 ou OpenID Connect pour vérifier que les scopes, l'audience et les claims corrects sont présents.
Surveillance d'Expiration des Tokens
Vérifiez quand les tokens expirent pour déboguer les problèmes de timeout de session. L'outil affiche des différences de temps lisibles comme "expire dans 14 minutes".
Vérification de Pipeline CI/CD
Vérifiez que les tokens de service à service contiennent les claims attendus avant le déploiement. Collez les tokens des logs du pipeline pour les inspecter.
Audit de Sécurité
Inspectez les tokens pour détecter les fuites de données sensibles (PII dans le payload), les algorithmes faibles (alg: none) ou les claims de sécurité manquants (exp, aud, iss).