Décodeur JWT
Décodez rapidement vos JSON Web Tokens pour analyser leur contenu et vérifier leur intégrité. Idéal pour les développeurs et les professionnels de la sécurité.
Collez n'importe quel JSON Web Token ci-dessous pour le décoder. Votre token est traité uniquement dans votre session — nous ne l'enregistrons pas et ne le stockons pas.
Utilisez cet outil depuis votre agent IA
API JSON et serveur Model Context Protocol (MCP) gratuits. Sans inscription, sans clé d'API, CORS ouvert. Conçu pour Claude, ChatGPT, Cursor, scripts et applications frontend.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Ajoutez à claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) ou tout autre client compatible MCP :
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Comment utiliser
- Collez votre token JWT dans le champ ci-dessus.
- Cliquez sur Décoder pour voir l'en-tête, la charge utile et la signature.
- Pour la vérification de la signature, fournissez le secret (HS256/384/512) ou la clé publique (RS256/384/512).
- Vérifiez le statut d'expiration pour voir si le token est toujours actif.
Fonctionnalités clés
- Décode l'en-tête et la charge utile du JWT en un clic
- Vérifie les signatures HS256, HS384, HS512 avec un secret
- Vérifie les signatures RS256, RS384, RS512 avec une clé publique
- Affiche les horodatages d'expiration, pas-avant et émis-le en format lisible
- Le token n'est jamais enregistré ni stocké sur nos serveurs
Cas d'usage courants
- Déboguer les flux d'authentification dans votre application
- Inspecter les tokens renvoyés par un fournisseur OAuth ou OpenID Connect
- Vérifier la date d'expiration d'un token d'accès
- Vérifier qu'un token a été signé par l'émetteur attendu
Questions fréquentes
Un JWT est un moyen compact et sécurisé pour les URL de représenter des revendications entre deux parties. Il est composé de trois parties — en-tête, charge utile et signature — séparées par des points. Les JWT sont largement utilisés pour l'authentification et l'autorisation (OAuth 2.0, OpenID Connect, authentification unique).
Oui — le token est envoyé à notre serveur uniquement pour que PHP puisse le décoder et (éventuellement) vérifier la signature. Le token n'est jamais enregistré, jamais stocké et jamais écrit sur disque. Il n'existe en mémoire que le temps de la requête.
Nous vérifions HS256, HS384, HS512 (HMAC avec SHA-2) lorsque vous fournissez le secret partagé, et RS256, RS384, RS512 (RSA avec SHA-2) lorsque vous fournissez la clé publique de l'émetteur au format PEM. Les autres algorithmes (ES256, EdDSA, etc.) sont décodés mais pas vérifiés.
La revendication exp (expiration) est un horodatage Unix au-delà duquel le token ne doit plus être accepté. Un JWT expiré doit être rejeté par le serveur même si la signature est valide. Utilisez un token de rafraîchissement pour obtenir un nouveau token d'accès.
Non. Décoder un JWT ne fait que lire son contenu — cela ne prouve pas que le token est authentique. Vous devez toujours vérifier la signature avec le secret ou la clé publique de l'émetteur avant de faire confiance à toute revendication qu'il contient.
