Aller au contenu
Toova
Tous les outils

Décodeur et inspecteur JWT

Conçu pour la confidentialité — fonctionne entièrement dans votre navigateur

Décodez un JWT (JSON Web Token) et inspectez son en-tête et sa charge utile sans envoyer le jeton nulle part. Toova affiche l'algorithme, les claims, les horodatages d'émission et d'expiration sous forme lisible, et signale les jetons déjà expirés — le tout localement, dans votre navigateur.

Pourquoi décoder les JWT localement

Chaque autre décodeur JWT vous demande de coller le jeton dans un formulaire distant. Le problème est évident — si le jeton est valide, quiconque gère ce serveur peut usurper votre identité. Toova décode le jeton entièrement dans votre navigateur, sans téléversement ni journalisation. Vous pouvez coller un jeton d'accès de production, inspecter les claims et vérifier qu'il est correctement structuré sans le divulguer à un tiers.

Ce que vous voyez dans la sortie décodée

Toova divise le jeton en en-tête, charge utile et signature. L'en-tête affiche l'algorithme et l'identifiant de clé. La charge utile est du JSON mis en forme avec chaque claim standard (iss, sub, aud, exp, nbf, iat, jti) converti sous forme lisible. Les horodatages sont traduits dans votre fuseau horaire local et l'outil indique si le jeton est actuellement valide, expiré ou pas encore actif.

Décodage seulement, jamais de confiance aveugle

Décoder un JWT n'est pas la même chose que le vérifier. Le décodeur vous montre ce que le jeton prétend être, mais il ne vérifie pas la signature — cela nécessite la clé de signature, qui se trouve sur le serveur qui a émis le jeton. Utilisez Toova pour déboguer la structure des claims, l'expiration et les valeurs d'audience ; utilisez votre bibliothèque d'authentification pour vérifier la confiance avant d'accorder l'accès.

Questions fréquentes

Toova vérifie-t-il la signature du JWT ?
Non. La vérification nécessite la clé de signature, que seul l'émetteur détient. Toova décode l'en-tête et la charge utile afin que vous puissiez inspecter les claims, mais faire confiance au jeton nécessite toujours une vérification côté serveur avec le secret ou la clé publique.
Mon jeton est-il envoyé quelque part ?
Non. Le décodeur s'exécute entièrement dans votre navigateur. Le jeton ne quitte jamais votre appareil, et il n'y a aucune requête réseau sortante pendant le décodage. Ouvrez les outils de développement et vérifiez vous-même.
Puis-je décoder un jeton expiré ?
Oui. Le décodeur fonctionne indépendamment de l'expiration. Il signale le jeton comme expiré et montre quand le claim exp est passé, ce qui aide à déboguer pourquoi une requête a été rejetée.
Que m'indique le champ alg ?
Il identifie l'algorithme de signature — HS256 pour HMAC-SHA256, RS256 pour RSA, ES256 pour ECDSA, etc. Si alg vaut "none", le jeton n'est pas signé, ce qui est presque toujours un bogue de sécurité.
Pourquoi les horodatages sont-ils des nombres ?
Les claims JWT utilisent les secondes Unix epoch. Toova traduit iat, nbf et exp dans votre fuseau horaire local afin que vous puissiez les lire, tout en gardant la valeur brute visible à titre de référence.