Is it safe to paste my JWT here?

This tool decodes entirely in your browser — no data is sent to any server. However, never paste production JWTs with active session credentials into any online tool.

What is the difference between HS256 and RS256?

HS256 (HMAC-SHA256) is symmetric — the same secret signs and verifies. RS256 (RSA-SHA256) is asymmetric — a private key signs and a public key verifies. This tool supports HS256 verification only.

What are exp, iat, and nbf claims?

Registered claims from RFC 7519: exp = expiration time (token invalid after this), iat = issued at (creation time), nbf = not before (token invalid before this). All are Unix timestamps (seconds).

Décodeur JWT — Inspectez les JSON Web Tokens dans le navigateur

Comment fonctionne le décodeur

Un JWT se compose de trois segments encodés en Base64URL séparés par des points : en-tête, contenu et signature. Cet outil divise le jeton sur les points, décode chaque segment en Base64URL via TextDecoder pour une correcte gestion UTF-8, puis affiche le JSON parsé. L'algorithme (alg) et le type (typ) de l'en-tête sont affichés sous forme de badges. Les claims standards (iss, sub, aud, exp, iat, nbf) sont décodés avec des horodatages lisibles.

La vérification optionnelle de la signature HS256 utilise l'API Web Crypto (HMAC-SHA256) entièrement dans le navigateur. Activez-la, entrez votre secret HMAC, et l'outil vérifie si la signature correspond. Aucune donnée ne quitte jamais votre navigateur.

Sources

La structure JWT est définie dans la RFC 7519 — JSON Web Token (JWT) (rfc-editor.org/rfc/rfc7519). Cette RFC spécifie la structure en trois parties, les noms de claims enregistrés et l'encodage Base64URL.

Les algorithmes de signature (HS256, RS256, ES256, etc.) sont définis dans la RFC 7518 — JSON Web Algorithms (JWA) (rfc-editor.org/rfc/rfc7518). Cet outil ne vérifie que HS256 (HMAC-SHA256) en v1.

Ce qui est là — et ce qui ne l'est pas

Décodage complet du JWT : en-tête (alg, typ), contenu avec tous les claims personnalisés, affichage de la signature. Claims standards (exp, iat, nbf) affichés en horodatages ISO lisibles avec temps relatif (ex. 'expiré il y a 3 jours'). Vérification optionnelle de la signature HS256 via Web Crypto. Avertissement de sécurité rappelant de ne pas coller de tokens de production.

Ce qui n'est pas là : le déchiffrement JWE (JSON Web Encryption) — les tokens chiffrés nécessitent une clé privée et sont fondamentalement différents des JWT signés. La vérification de signature RS256, ES256, PS256 — les algorithmes asymétriques nécessitent la clé publique en format PEM ou JWK (v2). La génération ou la signature de tokens n'est pas non plus supportée — c'est un décodeur et inspecteur, pas un outil d'authentification.

Questions fréquentes

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT, prononcé 'jot') est un format de jeton compact et URL-safe défini dans la RFC 7519. Il se compose de trois parties encodées en Base64URL : un en-tête (algorithme et type), un contenu (claims sur le sujet) et une signature. Les JWT sont couramment utilisés pour l'authentification (bearer tokens), l'autorisation et l'échange d'informations entre services.

Est-il sûr de coller mon JWT ici ?

Cet outil décode entièrement dans votre navigateur — aucune donnée n'est envoyée à un serveur. Cependant, ne collez jamais de JWT de production contenant des sessions actives ou des données sensibles dans un outil en ligne. Utilisez des tokens de dev/test ici. Si un token de production est accidentellement collé, révoquez-le immédiatement.

Que sont les claims exp, iat et nbf ?

Ce sont des noms de claims enregistrés définis dans la RFC 7519 : exp (expiration) — le token ne doit pas être accepté après ce timestamp Unix. iat (émis à) — quand le token a été créé. nbf (pas avant) — le token ne doit pas être accepté avant ce timestamp. Les trois sont des valeurs NumericDate (secondes Unix).

Quelle est la différence entre HS256 et RS256 ?

HS256 (HMAC-SHA256) est un algorithme symétrique — la même clé secrète est utilisée pour signer et vérifier le token. RS256 (RSA-SHA256) est asymétrique — une clé privée signe le token et une clé publique le vérifie. RS256 est préféré dans les systèmes distribués car la partie vérificatrice n'a jamais besoin de la clé privée. Cet outil ne supporte que la vérification HS256.

Où est documentée la spécification JWT ?

La spécification JWT est la RFC 7519, publiée par l'IETF en mai 2015, disponible sur rfc-editor.org/rfc/rfc7519. Les algorithmes de signature sont définis dans la RFC 7518 (JWA). La famille complète de standards s'appelle JOSE (JSON Object Signing and Encryption) et comprend les RFC 7515 (JWS), 7516 (JWE), 7517 (JWK) et 7518 (JWA).