Décodeur JWT

Un JWT (JSON Web Token) est un format ouvert (RFC 7519) permettant de transmettre des informations entre parties sous forme de données JSON signées. Il est couramment utilisé pour l'authentification (le serveur émet un JWT lors du login, le client l'envoie dans chaque requête) et pour l'échange sécurisé d'informations entre services.

Un JWT se compose de trois parties séparées par des points (.), encodées en Base64 URL : le header (algorithme et type), le payload (claims — données à transmettre) et la signature. La signature permet de vérifier que le token n'a pas été altéré. Sans la clé secrète, il est impossible de créer ou modifier un token valide.

Le header contient typiquement deux champs : alg (l'algorithme de signature, ex. HS256, RS256, ES256) et typ (le type de token, généralement « JWT »). Le payload contient les claims : des paires clé-valeur portant les informations utiles. Les claims standardisés incluent iss (émetteur), sub (sujet/identifiant utilisateur), exp (date d'expiration en timestamp Unix), iat (date d'émission), nbf (not before — date d'activation).

La signature est calculée en appliquant l'algorithme spécifié dans le header sur la concaténation du header et du payload encodés, avec une clé secrète (HMAC) ou une clé privée (RSA, ECDSA). Seul le serveur qui connaît la clé peut produire une signature valide. Ce décodeur affiche le contenu sans vérifier la signature, ce qui est utile pour le débogage.

Lors du développement d'une API ou d'un système d'authentification, il est souvent nécessaire d'inspecter le contenu d'un JWT pour vérifier les claims présents, la date d'expiration, l'identifiant utilisateur ou d'autres données. Un décodeur JWT permet de faire cela sans avoir accès à la clé de signature.

Ce décodeur affiche les champs exp, iat et nbf sous forme de dates lisibles, facilitant la vérification des délais d'expiration. Il indique également si le token est expiré. Attention : un token décodé ne garantit pas sa validité — seule la vérification de la signature côté serveur peut confirmer l'authenticité du token.

Ne collez jamais un JWT de production dans un outil en ligne non maîtrisé. Bien que le décodage soit une opération sur des données publiquement encodées (pas chiffrées), un JWT peut contenir des informations sensibles (identifiant utilisateur, rôles, données personnelles). Ce décodeur fonctionne entièrement dans le navigateur — aucune donnée n'est envoyée à un serveur.

Un JWT n'est pas chiffré par défaut : son contenu est lisible par quiconque en Base64. Si vous devez transporter des données confidentielles, utilisez un JWE (JSON Web Encryption). Pour les JWTs d'authentification, limitez les claims au strict nécessaire et fixez des durées d'expiration courtes (15 minutes à 1 heure) pour limiter l'impact d'un token compromis.

HS256 (HMAC-SHA256) est l'algorithme le plus simple : il utilise une clé secrète partagée entre le serveur émetteur et le serveur valideur. RS256 (RSA-SHA256) utilise une paire de clés publique/privée : le serveur signe avec la clé privée, les clients valident avec la clé publique. ES256 (ECDSA-SHA256) offre une sécurité équivalente à RS256 avec des clés plus courtes.

RS256 et ES256 sont préférés dans les architectures où plusieurs services valident les tokens sans avoir accès à la clé de signature, car la clé publique peut être distribuée librement (via un endpoint JWKS — JSON Web Key Set). HS256 est plus simple mais nécessite que tous les valideurs partagent le secret.