Pro — sans publicité
advertisement
// JWT → en-tête + contenu

Décodeur JWT

Collez un JSON Web Token pour voir ce qu'il contient réellement — l'en-tête et le contenu, décodés et mis en forme.

advertisement

Ce que le décodage d'un JWT vous apprend — et ce qu'il ne vous apprend pas

L'en-tête et le contenu d'un JWT ne sont que du JSON encodé en Base64URL — n'importe qui peut les décoder et les lire, sans secret requis, ce qui est exactement ce que fait cet outil. Ce qu'il ne peut pas faire, c'est vérifier la signature : cela nécessite la clé secrète ou publique de l'émetteur, une donnée que vous ne devriez délibérément jamais coller dans un site web quelconque.

Cela vérifie-t-il que le jeton est valide ou non expiré ?

Non — l'outil se contente de décoder les parties lisibles. La vérification de la signature et le contrôle de l'expiration (« exp ») se font sur le serveur qui a émis le jeton, à l'aide d'un secret que cet outil ne voit jamais.

Un JWT est-il censé être lisible ainsi ?

Oui — l'en-tête et le contenu sont uniquement encodés, pas chiffrés. Ne placez jamais de secrets ou de données sensibles directement dans le contenu d'un JWT ; la signature sert à prouver qu'il n'a pas été altéré, pas à en cacher le contenu.

Mon jeton est-il envoyé quelque part ?

Non — le décodage s'effectue entièrement dans votre navigateur avec du JavaScript pur. Rien n'est téléversé.

Convertburda — conversions universelles
advertisement