Outils JWT — Décoder, Vérifier et Signer

Qu'est-ce que Outils JWT — Décoder, Vérifier et Signer ?

Outils JWT est un utilitaire gratuit et tout-en-un pour les JSON Web Tokens qui réunit un décodeur, un vérificateur de signature et un signataire HS au même endroit. En mode Décoder, il décode en base64url un token header.payload.signature et met en forme l'en-tête et la charge utile sous forme de JSON formaté. En mode Vérifier, il lit le champ alg de l'en-tête du token et contrôle la signature avec la Web Crypto API : un secret HMAC partagé pour HS256, HS384 et HS512, ou une clé publique au format PEM pour RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) et ES256/ES384/ES512 (ECDSA). En mode Signer, il construit et signe en HMAC un tout nouveau token à partir d'un JSON d'en-tête, d'un JSON de charge utile, d'un algorithme HS choisi et d'un secret. Il est conçu pour les ingénieurs backend et frontend, les testeurs QA et les intégrateurs d'API qui déboguent l'authentification, les sessions OAuth/OIDC et l'expiration des tokens sans coller de secrets dans un service distant.

Comment utiliser Outils JWT — Décoder, Vérifier et Signer

1. Choisissez un mode en haut : Décoder, Vérifier ou Signer.
2. Décoder : collez un JWT (header.payload.signature) dans le champ du token et lisez l'en-tête et la charge utile mis en forme en dessous — aucune vérification de signature n'est effectuée ici.
3. Vérifier : collez le token, puis collez le secret HMAC (pour les algorithmes HS) ou la clé publique PEM (pour RS/ES) dans le champ de la clé ; l'outil lit le alg de l'en-tête et affiche un résultat vert 'valide' ou rouge 'invalide'.
4. Signer : saisissez un JSON d'en-tête et un JSON de charge utile, choisissez HS256, HS384 ou HS512, tapez votre secret et copiez le token fraîchement signé qui apparaît.
5. Utilisez le bouton Copier sur n'importe quelle sortie, ou Effacer pour réinitialiser l'entrée de décodage.

Exemples

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

valid (HS256)

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Questions fréquentes

Mes tokens, secrets et clés sont-ils téléversés quelque part ?

Non. Chaque mode s'exécute entièrement côté client dans votre navigateur via la Web Crypto API intégrée (crypto.subtle) pour le HMAC et la vérification de signature, ainsi que base64url et JSON en JavaScript. Rien — ni le token, ni le secret, ni la clé PEM — n'est jamais envoyé à un serveur, ce qui rend l'utilisation d'identifiants de production sûre.

Quels algorithmes peut-il vérifier ?

Vérifier prend en charge HS256, HS384 et HS512 avec un secret HMAC partagé, ainsi que RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) et ES256/ES384/ES512 (ECDSA) avec une clé publique au format PEM. Il lit automatiquement le champ alg de l'en-tête du token, vous n'avez donc qu'à fournir le secret ou la clé publique correspondants.

Avec quels algorithmes peut-il signer ?

Le mode Signer génère uniquement des tokens signés en HMAC — HS256, HS384 ou HS512 — à partir de votre JSON d'en-tête, votre JSON de charge utile et un secret. La signature RSA et ECDSA nécessite une clé privée et sort du cadre ici ; pour RS/ES, vous pouvez tout de même vérifier avec la clé publique correspondante en mode Vérifier.

Le mode Décoder vérifie-t-il la signature ?

Non. Décoder décode seulement en base64url et met en forme l'en-tête et la charge utile — il ne valide jamais la signature. Passez en mode Vérifier et fournissez un secret ou une clé publique pour confirmer qu'un token est authentique, et ne faites jamais confiance à une charge utile décodée tant que sa signature n'est pas vérifiée.

Pourquoi la vérification indique-t-elle invalide ou erreur ?

'Invalide' signifie que la signature ne correspond pas au secret ou à la clé que vous avez fournis. Une 'erreur' indique au contraire que l'entrée n'a pas pu être traitée — par exemple le token n'a pas de segment de signature, le alg n'est pas pris en charge, ou la clé publique PEM n'a pas pu être analysée. Vérifiez que vous avez collé le token complet et la bonne clé pour son algorithme.