Is it safe to paste my JWT here?

Yes. This tool is client-side only. Your tokens are processed locally in your browser using JavaScript and are never sent to any server. You can inspect the network traffic to verify.

What do 'exp', 'iat', and 'iss' mean?

These are standard claims: exp (Expiration Time): When the token expires. iat (Issued At): When the token was created. iss (Issuer): The entity that issued the token.

Can I edit the JWT payload?

Technically yes, but editing the payload invalidates the signature. If you try to use a tampered token on a secure server, it will be rejected unless you can re-sign it with the correct secret key.

Décodeur JWT

Décodez et inspectez les JSON Web Tokens (JWT) directement dans votre navigateur.

Collez votre jeton JWT

À propos du Décodeur JWT

Le Décodeur JWT de Coders Kit permet aux développeurs et aux professionnels de la sécurité d'inspecter le contenu des jetons Web JSON (JWT) sans avoir besoin de clés secrètes. Décodez et visualisez instantanément les sections En-tête (Header) et Charge utile (Payload) dans votre navigateur pour vérifier les revendications, les rôles des utilisateurs et les délais d'expiration. Cet outil fonctionne entièrement côté client, garantissant que vos jetons ne quittent jamais votre navigateur pour une sécurité maximale.

Comprendre la Structure JWT

En-tête (Header)

La première partie du jeton, contenant des métadonnées sur le type de jeton (généralement « JWT ») et l'algorithme de signature utilisé (par ex. HMAC SHA256 ou RSA).

Charge utile (Payload)

La deuxième partie, qui contient les revendications. Données spécifiques sur l'utilisateur (comme l'ID utilisateur, le rôle ou le nom) et propriétés du jeton (comme l'heure d'émission iat et d'expiration exp).

Signature

La troisième partie est utilisée pour vérifier que l'expéditeur du JWT est bien celui qu'il prétend être et pour s'assurer que le message n'a pas été modifié en cours de route. Remarque : Nous ne vérifions pas les signatures ici car cela nécessite votre clé privée.

Foire Aux Questions (FAQ)

Est-il sûr de coller mon JWT ici ?: Oui. Cet outil est uniquement côté client. Vos jetons sont traités localement dans votre navigateur à l'aide de JavaScript et ne sont jamais envoyés à aucun serveur. Vous pouvez inspecter le trafic réseau pour vérifier.
Que signifient 'exp', 'iat' et 'iss' ?: Ce sont des revendications standards :

exp (Expiration Time) : Quand le jeton expire.

iat (Issued At) : Moment où le jeton a été créé.

iss (Issuer) : L'entité qui a émis le jeton.
Puis-je modifier la charge utile du JWT ?: Techniquement oui, mais la modification de la charge utile invalide la signature. Si vous essayez d'utiliser un jeton falsifié sur un serveur sécurisé, il sera rejeté à moins que vous ne puissiez le signer à nouveau avec la clé secrète correcte.