Décoder un JWT en ligne, sans risque pour vos données
Un JWT (JSON Web Token) est un format de jeton très répandu pour l'authentification et l'échange sécurisé d'informations entre services. Si vous développez une API ou intégrez un fournisseur d'identité, vous serez forcément amené à en inspecter le contenu.
La structure d'un JWT
Un JWT se compose de trois parties séparées par des points :
- Header : l'algorithme de signature (par exemple
HS256ouRS256) et le type de jeton. - Payload : les claims, c'est-à-dire les données portées par le jeton (identifiant utilisateur, date d'expiration
exp, émetteuriss…). - Signature : la preuve que le jeton n'a pas été modifié, calculée avec une clé secrète.
Les deux premières parties sont simplement encodées en base64url. Elles ne sont pas chiffrées : n'importe qui peut les lire. Ne stockez donc jamais d'information sensible en clair dans le payload.
Décoder un JWT en toute confidentialité
Beaucoup d'outils en ligne décodent un JWT… en l'envoyant à leur serveur. Pour un jeton de production, c'est une fuite de données potentielle.
Le décodeur JWT de Toolab fonctionne entièrement dans votre navigateur : le jeton n'est jamais transmis. Vous pouvez aussi vérifier la signature HS256 en fournissant la clé, toujours côté client.
Bonnes pratiques
- Vérifiez toujours la date d'expiration (
exp) côté serveur. - Utilisez une clé secrète longue et aléatoire pour
HS256, ou une paire de clés pourRS256. - Ne mettez jamais de mot de passe ou de donnée bancaire dans le payload.
Besoin de générer une clé secrète robuste ? Le générateur de mot de passe produit des chaînes aléatoires sûres, dans votre navigateur.