Comment utiliser le décodeur JWT

Collez un JWT complet : trois segments encodés en Base64Url séparés par des points. Le décodeur divise les segments, les décode en Base64Url, analyse l’en-tête et la charge utile au format JSON et les affiche avec une coloration syntaxique. Les revendications JWT standard (exp, iat, nbf, iss, aud, sub) sont interprétées de manière lisible, y compris la date d’expiration.

Pourquoi cet outil est important

Les jetons JWT sont omniprésents dans l'authentification moderne : OAuth2, OpenID Connect, clés API, liens magiques, jetons de réinitialisation de mot de passe. Le débogage des appels API défaillants commence presque toujours par le décodage du jeton afin d'en examiner les revendications. Bien qu'il existe des décodeurs JWT en ligne, la plupart envoient le jeton à un serveur, une pratique déconseillée pour les jetons potentiellement encore valides. Notre décodeur s'exécute entièrement dans votre navigateur.

Cas d'utilisation courants

• Débogage des réponses “ 401 Non autorisé ” par l’inspection des revendications de jeton
• Confirmation que le jeton n'a pas expiré
• Vérifier que l'audience (aud) correspond à ce que votre API attend.
• Vérification des rôles ou des étendues encodés dans le jeton d'un utilisateur
• Inspection des jetons provenant des liens de réinitialisation de mot de passe et des e-mails contenant un lien magique
• Formation des nouveaux ingénieurs à la structure JWT

Structure JWT : en-tête.charge utile.signature

Chaque JWT comporte trois parties. L'en-tête déclare l'algorithme (alg) et le type (typ). La charge utile contient les revendications : des revendications standard comme exp/iat/iss et des revendications personnalisées comme roles/permissions. La signature garantit l'intégrité du jeton. Le décodage ne constitue pas une vérification : n'importe qui peut décoder un JWT. Seul l'émetteur, possédant la clé secrète, peut effectuer la vérification.

Pourquoi nous ne pouvons pas vérifier les signatures

La vérification de la signature requiert soit la clé secrète (pour les algorithmes HMAC comme HS256), soit la clé publique (pour les algorithmes RSA/ECDSA comme RS256). Aucune de ces clés ne figure dans le jeton lui-même. Le jeton seul indique ce que l'émetteur a déclaré ; seule la clé secrète permet de confirmer qu'il était bien l'émetteur.

Foire aux questions

Est-il sûr de coller mon JWT dans votre outil ?
Oui, le décodeur fonctionne entièrement dans votre navigateur. Aucune donnée n'est envoyée à un serveur. Cela dit, si un jeton est encore actif (non expiré) et donne accès à des informations sensibles, soyez prudent avec tout outil susceptible de l'enregistrer.

Les JWT peuvent-ils être cryptés ?
Les jetons JWT standard sont signés mais non chiffrés ; leur contenu peut être lu par décodage Base64. Pour les jetons chiffrés, utilisez JWE (JSON Web Encryption), qui est une spécification différente. La plupart des flux d'authentification utilisent uniquement des jetons JWT signés, car le contenu de leur charge utile n'est pas confidentiel.

Que signifie “ signature JWT invalide ” dans mes journaux d'API ?
Soit le jeton a été falsifié, soit il a été signé avec une clé différente, soit votre vérificateur utilise un algorithme incorrect. Décodez l'en-tête pour vérifier que l'algorithme correspond à celui attendu par votre vérificateur.

Où puis-je trouver plus d'informations sur les réclamations JWT ?
La RFC 7519 définit les revendications standard : iss (émetteur), sub (sujet), aud (public), exp (expiration), nbf (date de validité : non applicable avant le), iat (date d’émission : [date]) et jti (identifiant JWT). Les revendications personnalisées sont libres ; les plus courantes incluent “ roles ”, “ scope ”, “ email ” et “ tenant_id ”.