Qu'est-ce qu'un JWT ?

JSON Web Token (JWT) est une norme ouverte (RFC 7519) pour transmettre securely des informations entre des parties sous forme d'objet JSON. Il est couramment utilisé pour l'authentification et l'échange d'informations.

Quelle est la différence entre les algorithmes JWT HMAC et RSA ?

Les algorithmes HMAC (HS256/384/512) utilisent un secret partagé — l'émetteur et le vérificateur connaissent la même clé. Les algorithmes RSA (RS256/384/512) utilisent une paire de clés publique/privée — l'émetteur signe avec la clé privée, et toute personne disposant de la clé publique peut vérifier. Utilisez HMAC pour serveur à serveur, RSA pour les systèmes distribués où le vérificateur ne doit pas pouvoir créer de jetons.

Que se passe-t-il quand un JWT expire ?

La revendication exp dans la charge utile spécifie l'horodatage d'expiration. Après ce délai, le jeton doit être rejeté par le serveur. Cet outil affiche le exp décodé pour vérifier si un jeton est encore valide. Notez que l'expiration JWT est une revendication, pas appliquée par le jeton lui-même — le serveur doit la valider.

Débogueur JWT - Encoder, décoder et vérifier

Aucune donnée envoyée aux serveurs — Tout le traitement se fait dans votre navigateur

Collez

Vérifier la signature

Clé secrète / Clé publique

Le Débogueur JWT est un outil gratuit en ligne pour encoder, décoder et vérifier des JSON Web Tokens. Prend en charge HS256, RS256, ES256 et d'autres algorithmes. Tout le traitement s'exécute dans votre navigateur — aucun token n'est envoyé à un serveur.

Qu'est-ce que JWT ?

JWT (JSON Web Token, RFC 7519) est un standard ouvert pour transmettre de manière sécurisée des informations entre plusieurs parties sous forme d'un objet JSON compact. Il est couramment utilisé pour l'authentification et l'autorisation.

Cas d'utilisation courants

Authentifier des requêtes API — incluez un JWT dans l'en-tête Authorization (Bearer token) pour vérifier l'identité et les permissions de l'appelant.

Décoder et déboguer des jetons pendant le développement — inspectez les revendications de l'en-tête et de la charge utile (iss, sub, exp, iat) sans écrire de code.

Vérifier les signatures de jetons contre un secret partagé (HMAC) ou une clé publique (RSA/ECDSA) pour garantir l'intégrité avant de faire confiance aux revendications.

Comment décoder un JWT

1
Collez votre JWT
2
Inspecter l'en-tête et la charge utile
3
Vérifier la signature (optionnel)

Questions fréquentes

Outils associés

Base64 Encode/Decode Hachage de texte Générateur de Mots de Passe