Help shape the future of JSON Workbench! We'd love to hear how you use it.

Débogueur JWT et Testeur de Sécurité

Décodez, vérifiez et modifiez les JSON Web Tokens localement.

Token Input
Signing Algorithm

Awaiting JWT Token

Paste encoded JWT token to begin decoding

En-tête (modifiable)
Charge utile (modifiable)
SIGNATURE VERIFICATION
Aucune clé fournie
JWT · DEBUGGER
Ln 1, Col 1

Le Débogueur JWT de JSON Workbench fournit un environnement sécurisé côté client pour décoder, vérifier et modifier des JSON Web Tokens. Pour d'autres besoins de traitement de données, explorez notre Formateur JSON, Décodeur Base64, Comparateur JSON, Comparaison de Fichiers, et nos utilitaires de Diff de Dossiers.

Comment utiliser le Débogueur JWT

Décodez, inspectez et vérifiez les JSON Web Tokens en trois étapes simples — entièrement dans votre navigateur, sans appels serveur.

1. Collez votre Token

Copiez un JWT depuis votre application, client API ou DevTools du navigateur et collez-le dans le panneau de saisie à gauche.

2. Inspectez et Modifiez

L'en-tête et la charge utile sont immédiatement décodés en JSON lisible. Modifiez n'importe quelle section et regardez le token encodé se mettre à jour en temps réel.

3. Vérifiez la Signature

Saisissez votre secret HMAC ou clé publique RSA/EC pour valider cryptographiquement la signature du token — localement, jamais envoyé à un serveur.

Understanding the JWT Structure

Header

Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.

Payload

The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.

Signature

A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.

Questions Fréquentes

Q: Est-il sûr de coller mon JWT ici?

A: Oui. Tout le décodage et la vérification se font entièrement dans votre navigateur via la Web Crypto API. Votre token n'est jamais transmis à un serveur externe.

Q: Quelle est la différence entre décoder et vérifier un JWT?

A: Le décodage décode simplement le token en base64 pour révéler l'en-tête et la charge utile. La vérification utilise votre secret ou clé publique pour confirmer cryptographiquement que le token a été signé par une partie de confiance.

Q: Que signifie l'avertissement "alg:none"?

A: La vulnérabilité alg:none permet à un acteur malveillant de falsifier un JWT sans signature. Quand l'outil détecte un token utilisant alg:none, il affiche un avertissement.

Q: Puis-je voir si mon token est expiré?

A: Oui. Le panneau Inspecteur de Claims analyse automatiquement le champ exp (expiration) et affiche si le token est encore valide ou a expiré, avec une date et heure lisibles.

Pourquoi utiliser le Débogueur JWT de JSON Workbench?

La plupart des outils JWT en ligne envoient votre token à leurs serveurs pour le décoder. JSON Workbench est différent — chaque opération de décodage, encodage et vérification s'exécute entièrement dans votre navigateur.

100% Local et Privé

Vos tokens ne quittent jamais votre navigateur. Pas de journalisation, pas d'analyse de vos données de token, pas d'allers-retours serveur.

Édition Bidirectionnelle

Modifiez le JSON décodé et voyez le token brut se mettre à jour instantanément, ou collez un token brut et regardez les panneaux JSON se remplir.

Vérification Cryptographique

Prend en charge les secrets HMAC HS256/384/512 et les clés publiques RSA RS256/RS384/RS512 pour une validation complète de signature.