Pourquoi la signature n'est-elle pas vérifiée ?

La vérification nécessite la clé publique de l'émetteur (pour les algorithmes asymétriques comme RS256/ES256) ou le secret symétrique (HS256). Les deux appartiennent à votre backend, pas à un outil navigateur. Toute personne exécutant du JavaScript sur votre machine devrait sinon manipuler ce secret, ce qu'un design JWT cherche précisément à éviter.

Puis-je décoder n'importe quel JWT sans le secret ?

Oui — l'en-tête et le payload sont encodés en Base64url, pas chiffrés. Toute personne qui possède le token peut lire son contenu. C'est pourquoi vous ne devez jamais mettre de secrets (mots de passe, numéros de carte bruts) dans un payload JWT.

Quels algorithmes le décodeur prend-il en charge ?

Tous, pour inspection. L'outil lit le nom de l'algorithme dans l'en-tête mais ne l'applique pas. Valeurs courantes : HS256 (HMAC-SHA-256, symétrique), RS256 (RSA-SHA-256, asymétrique), ES256 (ECDSA-P256-SHA-256). Le dangereux algorithme 'none' — qui signifie 'ce token n'a pas de signature' — doit toujours être rejeté par votre code de vérification.

Décodeur JWT

Collez un JWT — visualisez l'en-tête, le payload, l'algorithme et l'expiration en un coup d'œil.

Buğra SözeriDéveloppeur

Updated June 10, 2026 · Published June 10, 2026

Un JSON Web Token (JWT) transporte des claims sur un utilisateur authentifié en trois parties séparées par des points : un en-tête encodé en Base64url, un payload encodé en Base64url et une signature (généralement basée sur SHA-256). Le décodeur divise le token, analyse chaque segment en JSON, affiche l'algorithme et le temps restant avant expiration. Il ne vérifie pas la signature— cela nécessite la clé de l'émetteur et doit se faire côté serveur, pas dans un outil navigateur.

Tout le décodage s'effectue localement. Convertitive ne journalise, ne stocke ni ne transmet jamais le token que vous collez.

JWT (header.payload.signature)

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Algorithm

HS256

Expires

no exp claim

Signature is shown for reference but not verified. Verifying a JWT requires the issuer’s public or symmetric key — that step happens on your backend, not in a browser tool.

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

How to use

Collez votre JWT
Trois segments Base64url reliés par des points. Le token encodé est généralement une longue ligne — les sauts de ligne sont tolérés.
Inspectez l'en-tête et le payload
Chaque segment est affiché en JSON formaté. La carte algorithme extrait 'alg' de l'en-tête pour une référence rapide.
Vérifiez l'expiration
Si le payload contient 'exp' (horodatage Unix en secondes), l'outil calcule combien de temps il reste par rapport à l'heure actuelle de votre machine.

Frequently asked questions

Pourquoi la signature n'est-elle pas vérifiée ?: La vérification nécessite la clé publique de l'émetteur (pour les algorithmes asymétriques comme RS256/ES256) ou le secret symétrique (HS256). Les deux appartiennent à votre backend, pas à un outil navigateur. Toute personne exécutant du JavaScript sur votre machine devrait sinon manipuler ce secret, ce qu'un design JWT cherche précisément à éviter.
Puis-je décoder n'importe quel JWT sans le secret ?: Oui — l'en-tête et le payload sont encodés en Base64url, pas chiffrés. Toute personne qui possède le token peut lire son contenu. C'est pourquoi vous ne devez jamais mettre de secrets (mots de passe, numéros de carte bruts) dans un payload JWT.
Quels algorithmes le décodeur prend-il en charge ?: Tous, pour inspection. L'outil lit le nom de l'algorithme dans l'en-tête mais ne l'applique pas. Valeurs courantes : HS256 (HMAC-SHA-256, symétrique), RS256 (RSA-SHA-256, asymétrique), ES256 (ECDSA-P256-SHA-256). Le dangereux algorithme 'none' — qui signifie 'ce token n'a pas de signature' — doit toujours être rejeté par votre code de vérification.

Décodeur JWT

How to use

Collez votre JWT

Inspectez l'en-tête et le payload

Vérifiez l'expiration

Frequently asked questions

Outils associés