Le Décodeur AG JWT est un outil gratuit pour développeurs qui décode les JSON Web Tokens (JWT) instantanément dans votre navigateur et vérifie leurs signatures — sans inscription ni installation.


Collez un jeton et ses trois parties —en-tête, charge utile et signature— sont décodées en base64url, colorées et affichées sous forme de JSON formaté, chacune copiable en un clic. Pour les jetons HMAC (HS256/384/512), saisissez le secret pour vérifier aussi la signature.


Les revendications enregistrées comme exp, nbf et iat sont converties en heure locale lisible et temps relatif, et une bannière de statut indique si le jeton est expiré. Il fournit aussi une référence des algorithmes et revendications et des guides conceptuels pour mieux comprendre JWT.


Tout le traitement se fait uniquement dans votre navigateur, et aucun jeton ni secret que vous collez n'est envoyé ni stocké sur un serveur. Comme la charge utile d'un JWT n'est pas chiffrée, n'y placez jamais de données sensibles.

Traité dans le navigateur Décodage instantané Vérification HMAC Entièrement gratuit
Cet outil décode un jeton et peut vérifier les signatures HMAC. La charge utile d'un JWT est encodée en base64url, pas chiffrée : n'y placez jamais de données sensibles comme des mots de passe ou des clés d'API. Les jetons et secrets que vous collez sont traités uniquement dans votre navigateur et ne sont jamais envoyés ni stockés sur un serveur.

Le jeton ou le secret que je colle est-il envoyé à un serveur ?

Non. Le décodage et la vérification HMAC se déroulent entièrement dans votre navigateur, et aucun jeton ni secret n'est jamais envoyé ni stocké sur un serveur.

Quels algorithmes peut-il vérifier ?

Il vérifie la famille HMAC (HS256/384/512) avec votre seul secret, via la Web Crypto du navigateur. Les signatures asymétriques comme RS, ES, PS et EdDSA nécessitent une clé publique, cet outil ne fait donc que les décoder.

Puis-je mettre des données sensibles dans un JWT ?

Non. La charge utile d'un JWT n'est qu'encodée en base64url, pas chiffrée, donc n'importe qui peut la décoder. N'y stockez jamais de secrets tels que des mots de passe ou des clés d'API.

Que signifient des nombres comme exp et iat ?

Les revendications enregistrées temporelles sont des horodatages Unix en secondes depuis le 1er janvier 1970. Cet outil les affiche à votre heure locale et en temps relatif (par ex. dans 3 jours).