Collez un jeton JWT ci-dessous pour décoder et inspecter son contenu. Tout le traitement se fait dans votre navigateur - votre jeton n'est jamais envoyé à un serveur.
Un JSON Web Token (JWT) est un moyen compact et sécurisé pour les URL de représenter des revendications à transférer entre deux parties. Les JWT sont couramment utilisés pour l'authentification et l'autorisation dans les applications web et les API. Le jeton est signé numériquement, ce qui permet au destinataire de vérifier que le jeton n'a pas été altéré.
Un JWT se compose de trois parties séparées par des points (.) :
Contient des métadonnées sur le jeton, y compris le type (JWT) et l'algorithme de signature utilisé (comme HMAC SHA256 ou RSA).
Contient les revendications (claims), qui sont des déclarations sur une entité (généralement l'utilisateur) et des données supplémentaires. Les revendications peuvent inclure des revendications enregistrées standard comme exp (expiration), iat (émis le) et des revendications personnalisées.
Utilisée pour vérifier que l'expéditeur du JWT est bien celui qu'il prétend être et pour garantir que le message n'a pas été modifié en cours de route. La signature est créée à l'aide de l'en-tête, de la charge utile et d'une clé secrète.
Identifie l'heure d'expiration à laquelle ou après laquelle le JWT ne doit plus être accepté pour le traitement. Cela permet de garantir que les jetons ont une durée de vie limitée.
Identifie l'heure à laquelle le JWT a été émis. Cela peut être utilisé pour déterminer l'âge du JWT.
Identifie l'heure avant laquelle le JWT ne doit pas être accepté pour le traitement.
Identifie le principal qui a émis le JWT.
Identifie le principal qui est le sujet du JWT (souvent l'ID de l'utilisateur).
Identifie les destinataires auxquels le JWT est destiné.
L'utilisation de l'outil Décodeur JWT est simple :
Cet outil est entièrement côté client. Tout le décodage JWT se fait dans votre navigateur à l'aide de JavaScript. Vos jetons ne sont jamais envoyés à un serveur, ce qui garantit votre sécurité et votre confidentialité. Vous pouvez même utiliser cet outil hors ligne une fois la page chargée.
Cependant, n'oubliez pas que les JWT sont uniquement encodés, et non chiffrés. Toute personne ayant accès à un JWT peut le décoder et lire son contenu. C'est pourquoi vous ne devez jamais stocker d'informations sensibles comme des mots de passe dans les charges utiles des JWT. La signature garantit que le jeton n'a pas été modifié, mais elle ne cache pas le contenu.
Après qu'un utilisateur se connecte, un JWT peut être émis et envoyé avec les requêtes ultérieures pour vérifier l'identité de l'utilisateur sans que le serveur ait besoin de maintenir un état de session.
Les JWT peuvent transmettre des informations en toute sécurité entre les parties car ils peuvent être signés, ce qui vous permet de vérifier l'expéditeur et de vous assurer que le message n'a pas été altéré.
Les JWT sont couramment utilisés dans les API REST pour autoriser l'accès aux ressources protégées.
Définissez des temps d'expiration appropriés pour limiter la fenêtre d'opportunité en cas de compromission d'un jeton.
Transmettez toujours les JWT via HTTPS pour empêcher l'interception.
Stockez les JWT en toute sécurité dans votre application, en évitant le localStorage lorsque cela est possible. Envisagez d'utiliser des cookies httpOnly pour les applications sensibles.
Validez toujours les JWT côté serveur, en vérifiant la signature, l'expiration et toutes les revendications personnalisées.
N'oubliez pas que les JWT peuvent être décodés par n'importe qui, alors évitez de stocker des informations sensibles dans la charge utile.
Cet outil est particulièrement utile pour les développeurs qui ont besoin de :