Débogueur JWT et Testeur de Sécurité
Décodez, vérifiez et modifiez les JSON Web Tokens localement.
Awaiting JWT Token
Paste encoded JWT token to begin decoding
Décodez, vérifiez et modifiez les JSON Web Tokens localement.
Paste encoded JWT token to begin decoding
Le Débogueur JWT de JSON Workbench fournit un environnement sécurisé côté client pour décoder, vérifier et modifier des JSON Web Tokens. Pour d'autres besoins de traitement de données, explorez notre Formateur JSON, Décodeur Base64, Comparateur JSON, Comparaison de Fichiers, et nos utilitaires de Diff de Dossiers.
Décodez, inspectez et vérifiez les JSON Web Tokens en trois étapes simples — entièrement dans votre navigateur, sans appels serveur.
Copiez un JWT depuis votre application, client API ou DevTools du navigateur et collez-le dans le panneau de saisie à gauche.
L'en-tête et la charge utile sont immédiatement décodés en JSON lisible. Modifiez n'importe quelle section et regardez le token encodé se mettre à jour en temps réel.
Saisissez votre secret HMAC ou clé publique RSA/EC pour valider cryptographiquement la signature du token — localement, jamais envoyé à un serveur.
Header
Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.
Payload
The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.
Signature
A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.
A: Oui. Tout le décodage et la vérification se font entièrement dans votre navigateur via la Web Crypto API. Votre token n'est jamais transmis à un serveur externe.
A: Le décodage décode simplement le token en base64 pour révéler l'en-tête et la charge utile. La vérification utilise votre secret ou clé publique pour confirmer cryptographiquement que le token a été signé par une partie de confiance.
A: La vulnérabilité alg:none permet à un acteur malveillant de falsifier un JWT sans signature. Quand l'outil détecte un token utilisant alg:none, il affiche un avertissement.
A: Oui. Le panneau Inspecteur de Claims analyse automatiquement le champ exp (expiration) et affiche si le token est encore valide ou a expiré, avec une date et heure lisibles.
La plupart des outils JWT en ligne envoient votre token à leurs serveurs pour le décoder. JSON Workbench est différent — chaque opération de décodage, encodage et vérification s'exécute entièrement dans votre navigateur.
100% Local et Privé
Vos tokens ne quittent jamais votre navigateur. Pas de journalisation, pas d'analyse de vos données de token, pas d'allers-retours serveur.
Édition Bidirectionnelle
Modifiez le JSON décodé et voyez le token brut se mettre à jour instantanément, ou collez un token brut et regardez les panneaux JSON se remplir.
Vérification Cryptographique
Prend en charge les secrets HMAC HS256/384/512 et les clés publiques RSA RS256/RS384/RS512 pour une validation complète de signature.