Skip to main content
CheckTown
Outils Dev

Décodeur JWT : Inspectez et déboguez les JSON Web Tokens en ligne

Publié le 5 min de lecture
Dans cet article

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT) est un jeton compact et sûr pour les URL, utilisé pour représenter des assertions entre deux parties. Les JWT sont au cœur des systèmes modernes d'authentification et d'autorisation — ils sont émis par les serveurs après la connexion et envoyés avec les requêtes API suivantes pour prouver l'identité.

Un JWT est composé de trois parties encodées en Base64URL séparées par des points : l'en-tête (algorithme et type de jeton), la charge utile (assertions/données) et la signature (vérification d'intégrité). La signature est créée à l'aide d'une clé secrète ou d'une clé privée, ce qui rend toute altération du jeton détectable.

Comment fonctionne le décodage JWT

Décoder un JWT révèle son contenu sans vérifier la signature — utile pour le débogage, mais pas pour les décisions de sécurité.

  • Décodage de l'en-tête — révèle l'algorithme de signature (HS256, RS256, etc.) et le type de jeton
  • Décodage de la charge utile — expose toutes les assertions, notamment l'identifiant utilisateur, les rôles, la date d'expiration et les données personnalisées
  • Vérification de l'expiration — calcule si le jeton a expiré en se basant sur la valeur de l'assertion exp

Essayez gratuitement — sans inscription

Décoder un JWT →

Quand utiliser le décodage JWT

Le décodage JWT est indispensable lors du développement et du débogage d'API.

  • Débogage d'API — inspectez le contenu du jeton lorsque des requêtes échouent avec des erreurs 401 ou 403
  • Tests d'intégration — vérifiez que votre serveur d'authentification intègre bien les assertions correctes dans les jetons émis
  • Diagnostic d'expiration — vérifiez rapidement si des échecs d'authentification sont causés par des jetons expirés

Foire aux questions

Peut-on faire confiance au contenu d'un JWT décodé ?

Le décodage révèle la charge utile mais ne vérifie pas la signature. Ne prenez jamais de décisions de sécurité sur la base du contenu décodé d'un jeton sans avoir vérifié la signature avec la clé secrète ou publique appropriée. Le décodeur de CheckTown est conçu uniquement à des fins d'inspection.

Que ne faut-il jamais mettre dans une charge utile JWT ?

Ne stockez jamais d'informations sensibles telles que des mots de passe, des numéros de carte bancaire ou des clés privées dans les charges utiles JWT. Les JWT sont encodés, non chiffrés — quiconque intercepte le jeton peut décoder la charge utile sans la clé de signature.

Quelle est la différence entre HS256 et RS256 ?

HS256 (HMAC-SHA256) utilise un secret partagé unique pour signer et vérifier les jetons. RS256 (RSA-SHA256) utilise une clé privée pour la signature et une clé publique pour la vérification. RS256 est préférable dans les systèmes distribués où plusieurs services doivent vérifier les jetons sans avoir accès au secret de signature.

Outils associés

Générateur de hash : MD5, SHA-256 et plus — Quand utiliser chacunLe hachage est fondamental pour la sécurité et l'intégrité des données. Apprenez quel algorithme choisir.Lire l'article → Encodage & décodage Base64 : Le guide complet du développeurBase64 est omniprésent dans le développement web. Apprenez comment ça fonctionne et quand l'utiliser.Lire l'article → Vérificateur de force de mot de passe : Construisez une authentification sécuriséeLes mots de passe faibles sont une cause majeure de violations. Apprenez à mesurer la force des mots de passe.Lire l'article →
Retour au Blog