Qu'est-ce que l'en-tête d'un JWT ?

L'en-tête contient le type du token (typ : JWT) et l'algorithme de signature (alg : HS256, RS256…). Il est encodé en Base64URL et constitue la première partie du token.

Qu'est-ce que le payload JWT ?

Le payload contient les claims : informations sur l'utilisateur (sub, email, name) et métadonnées temporelles (exp, iat, nbf). C'est la deuxième partie du token, lisible sans clé.

Un JWT décodé est-il sécurisé ?

Le décodage lit les données mais ne vérifie pas la signature. N'importe qui peut lire le contenu d'un JWT — ne jamais y stocker de données sensibles sans chiffrement supplémentaire.

Flowfiles ← Décodeur JWT

Décodeur JWT en ligne

Q: Comment décoder un token JWT ?

Collez votre JWT dans le champ de saisie. L'outil décode automatiquement l'en-tête et le payload Base64URL et affiche le JSON indenté. Aucun upload requis.

Décoder un token JWT — Header · Payload · Claims · Expiration — gratuit, sans upload

Collez votre token JWT pour le décoder instantanément. L'outil extrait l'en-tête, le payload et affiche tous les claims de manière lisible : émetteur, sujet, dates d'émission et d'expiration, rôles… Tout s'exécute dans votre navigateur.

Prêt à décoder votre token JWT ?

Ouvrir le décodeur JWT →

Comment décoder un JWT ?

Un JWT (JSON Web Token) est composé de trois segments encodés en Base64URL séparés par des points. Le décodage consiste à base64url-décoder chacun des deux premiers segments pour obtenir le JSON de l'en-tête et du payload. La signature (troisième partie) ne peut pas être "décodée" — elle doit être vérifiée.

Ce décodeur JWT en ligne fait exactement cela : il sépare le token, décode l'en-tête et le payload, et affiche tous les claims avec leurs descriptions. Aucune donnée n'est envoyée sur un serveur.

Questions fréquentes

Comment décoder un token JWT ?

Collez votre JWT dans le décodeur. L'outil split le token sur les points, décode le header et le payload en Base64URL, puis parse le JSON. Le résultat s'affiche instantanément avec coloration syntaxique.

Peut-on décoder un JWT sans secret ?

Oui. Le décodage du header et du payload ne nécessite pas de clé — ils sont simplement encodés en Base64URL. La clé est uniquement requise pour vérifier la signature et s'assurer que le token est authentique.

Qu'est-ce que le claim 'sub' dans un JWT ?

Le claim sub (Subject) identifie l'entité principale du token — généralement l'identifiant unique de l'utilisateur. C'est l'un des claims enregistrés définis dans la RFC 7519.

Pourquoi le payload est-il lisible sans clé ?

Le payload JWT est encodé (Base64URL), pas chiffré. N'importe qui peut le lire. La sécurité du JWT repose sur la signature : si quelqu'un modifie le payload, la vérification de signature échouera.

Outils associés

Décodeur JWT complet Vérifier signature JWT Expiration JWT JWT OAuth 2.0 JWT sans upload Encodeur Base64