Mon JWT est-il envoyé sur un serveur ?

Non. Le décodage, la vérification de signature et l'inspection des claims s'exécutent entièrement en JavaScript dans votre navigateur. Aucun token, aucun secret, aucune clé n'est transmis.

Pourquoi est-il risqué d'utiliser un décodeur JWT en ligne qui envoie les tokens ?

Un JWT peut contenir des informations sensibles (email, rôles, permissions) et le secret HMAC vous permet de forger des tokens. Les envoyer à un tiers expose vos données et votre sécurité.

Comment fonctionne la vérification de signature sans serveur ?

L'API SubtleCrypto du navigateur (W3C Web Crypto API) fournit des primitives cryptographiques natives : HMAC, RSA-PKCS#1-v1_5, RSA-PSS, ECDSA. La vérification est aussi sûre que côté serveur.

Puis-je analyser des tokens JWT de production ?

Oui, en toute sécurité. Aucun token n'est transmis. Toutefois, par principe de sécurité, évitez de coller des tokens de production avec accès étendu sur n'importe quelle plateforme web.

Flowfiles ← Décodeur JWT

Analyser un JWT en ligne sans upload

Décodeur JWT 100% local · Aucune donnée envoyée · SubtleCrypto natif · Gratuit

Décodez, analysez et vérifiez vos tokens JWT sans jamais les envoyer sur un serveur. Tout le traitement — décodage Base64URL, vérification cryptographique, inspection des claims — s'exécute dans votre navigateur via l'API SubtleCrypto native.

Analysez votre token JWT sans aucun upload

Ouvrir le décodeur JWT →

Pourquoi utiliser un décodeur JWT sans upload ?

Un token JWT peut contenir des informations sensibles : identifiant utilisateur, email, rôles, permissions, et dans certains cas des secrets. L'envoyer à un service tiers présente des risques :

Exposition du contenu du token à un opérateur inconnu
Journalisation possible des tokens sur des serveurs externes
Risque de rejeu si le token est encore valide
Exposition du secret HMAC si fourni pour vérification

Cet outil traite tout localement. Aucune requête réseau n'est effectuée lors du décodage ou de la vérification.

Questions fréquentes

Mon token JWT est-il envoyé quelque part ?

Non. Le token reste dans votre navigateur. L'application est une page HTML statique sans backend — il n'y a littéralement aucun serveur capable de recevoir votre token.

Comment la vérification cryptographique fonctionne-t-elle sans serveur ?

Les navigateurs modernes implémentent l'API Web Crypto (W3C) qui expose SubtleCrypto — une suite de primitives cryptographiques natives : HMAC, RSA, ECDSA. La vérification est aussi fiable que côté serveur.

Puis-je utiliser cet outil hors ligne ?

Oui. Une fois la page chargée, vous pouvez passer en mode avion — le décodeur fonctionne entièrement sans connexion. Seule la police Google Fonts nécessite une connexion lors du premier chargement.

Est-il sûr de coller un secret HMAC dans le champ de vérification ?

Avec cet outil : oui. Le secret est utilisé uniquement par SubtleCrypto en local et n'est pas transmis. Par précaution, préférez un token de test plutôt qu'un secret de production.

Outils associés

Décodeur JWT complet Vérifier signature JWT Expiration JWT JWT gratuit Encodeur Base64