Décodeur JWT en ligne — décoder gratuitement le header et le payload
Décodez un JSON Web Token dans le navigateur pour inspecter son en-tête et son payload. La signature N'EST PAS validée — débogage uniquement.
Collez un JWT ci-dessous. En-tête et payload sont décodés localement depuis Base64URL ; le token reste sur la page.
Cas d'usage courants
- 1Inspecter un token d'accès OAuth pour voir son expiration, son audience et ses scopes.
- 2Déboguer un échec SSO tiers en lisant les claims signés par l'IdP.
- 3Vérifier que votre app émet la forme de JWT attendue avant les tests d'intégration.
Questions fréquentes
Pourquoi la signature n'est-elle pas vérifiée ?+
La vérification a besoin de la clé publique de l'émetteur (RS256/ES256) ou du secret partagé (HS256) — c'est une décision d'infrastructure. Utilisez jose/jsonwebtoken avec la bonne clé. Cet outil ne fait que décoder.
Est-ce sûr de coller mon token ici ?+
Le décodage tourne entièrement dans votre navigateur ; le token ne quitte pas la page. Mais un token d'accès ACTIF porte toujours votre identité — s'il est en usage, masquez les claims sensibles après debug.
Pourquoi mon token décode-t-il en charabia ?+
Probablement pas un JWT. Les vrais JWTs ont toujours trois parties Base64URL séparées par des points (header.payload.signature). Les tokens opaques (chaînes aléatoires) ne décodent pas en JSON.