Qu'est-ce que le claim 'exp' dans un JWT ?

Le claim 'exp' (Expiration Time) est un timestamp Unix indiquant la date après laquelle le token ne doit plus être accepté. L'outil affiche l'état d'expiration en temps réel et calcule le temps restant.

Peut-on créer un JWT avec cet outil ?

Oui. L'onglet Construire permet de créer un JWT HS256/HS384/HS512 signé avec un secret HMAC. Pour RS/ES, le token non signé est généré (la signature requiert une clé privée non disponible dans le navigateur).

Mes tokens JWT sont-ils sécurisés ?

Oui. Tout le décodage et la vérification s'exécutent dans votre navigateur via JavaScript et l'API SubtleCrypto. Aucun token, aucun secret ni aucune clé n'est transmis à un serveur.

Flowfiles ← Tous les outils

Décodeur JWT en ligne

Décoder · Vérifier · Construire — HS256 · RS256 · ES256 · Claims · Expiration — 100% local, sans upload

Collez n'importe quel token JWT pour décoder instantanément son en-tête, son payload et ses claims. Vérifiez la signature HMAC avec votre secret, ou RS256/ES256 avec une clé publique PEM. Testez l'expiration, voyagez dans le temps, et créez vos propres tokens.

Qu'est-ce qu'un JWT ?

Un JSON Web Token (JWT) est un standard ouvert (RFC 7519) qui définit un moyen compact et autonome de transmettre des informations entre parties sous forme d'objet JSON signé. Un JWT est composé de trois parties encodées en Base64URL et séparées par des points :

En-tête (Header) : algorithme de signature (alg) et type du token (typ).
Payload : les claims — données sur l'utilisateur et métadonnées (sub, iss, exp, iat…).
Signature : garantit que le token n'a pas été altéré. Calculée sur l'en-tête et le payload avec la clé secrète ou le pair de clés.

Fonctionnalités

Décodage JWT instantané (en-tête + payload)
Vérification signature HMAC (HS256/384/512)
Vérification signature RSA (RS256/384/512)
Vérification signature RSA-PSS (PS256/384/512)
Vérification signature ECDSA (ES256/384/512)
Secret HMAC en Base64 ou texte brut
Clé publique PEM (SPKI)
Inspection des claims exp, nbf, iat
Statut d'expiration en temps réel
Voyage temporel (tester à une date donnée)
Coloration syntaxique JSON
Constructeur JWT avec signature HS*
Ajout rapide de claims standards
Copier en-tête / payload / JWT brut
Export JSON décodé
100% local — aucun token envoyé

Questions fréquentes

Comment décoder un token JWT ?

Collez votre token JWT dans le champ d'entrée. L'outil détecte automatiquement les trois parties et affiche l'en-tête et le payload en JSON indenté avec coloration syntaxique. Le décodage est instantané et s'effectue entièrement dans votre navigateur.

Comment vérifier la signature d'un JWT HS256 ?

Ouvrez les Options avancées, entrez votre secret HMAC dans le champ prévu. Si votre secret est encodé en Base64, cochez la case correspondante. L'outil utilise l'API SubtleCrypto du navigateur pour vérifier la signature HMAC-SHA256 et affiche ✓ Signature valide ou ✗ Signature invalide.

Comment utiliser le voyage temporel ?

Dans les options avancées, sélectionnez une date et heure. L'outil recalcule le statut des claims exp et nbf par rapport à cette date, vous permettant de simuler si le token était valide à un instant précis — utile pour déboguer des problèmes d'expiration.

Peut-on vérifier un JWT RS256 dans le navigateur ?

Oui. Collez la clé publique RSA au format PEM (SPKI) dans le champ dédié. L'API SubtleCrypto importe la clé et vérifie la signature RSA-PKCS#1-v1_5 ou RSA-PSS directement dans le navigateur, sans aucune requête réseau.

Mes tokens JWT sont-ils privés ?

Absolument. Aucune donnée n'est transmise à un serveur. Le décodage, la vérification de signature et la construction de tokens s'effectuent entièrement en JavaScript dans votre navigateur.

Outils associés

Décodeur JWT Vérifier signature JWT JWT OAuth 2.0 Expiration JWT JWT sans upload Encodeur Base64 Générateur UUID JSON ↔ CSV