Token Encodé
JWT Invalide

Aucune donnée

Vérification de Signature (OPTIONAL)

Entrez le secret utilisé pour signer le JWT ci-dessous :

Clé Secrète

La vérification se fait entièrement dans votre navigateur. Aucun token n'est envoyé à des serveurs externes.

En-tête Décodé
Aucune donnée
Charge Utile Décodée
Aucune donnée
Signature
Aucune donnée
Qu'est-ce que JWT ?

JWT (JSON Web Token) est un standard ouvert (RFC 7519) pour transmettre des informations de manière sécurisée entre les parties. Il est signé numériquement, ce qui le rend vérifiable et fiable. Les JWT peuvent être signés avec des algorithmes HMAC ou des paires de clés publiques/privées RSA/ECDSA.

xxxxx.yyyyy.zzzzz

Header: Informations sur l'algorithme et le type de token
Payload: Claims (informations utilisateur et métadonnées)
Signature: Signature pour la vérification de l'intégrité du token
Claims Enregistrés
iss

Émetteur (Issuer) - L'entité qui a émis le token

sub

Sujet (Subject) - Le sujet du token (généralement l'ID utilisateur)

aud

Audience (Audience) - Les destinataires prévus du token

exp

Temps d'Expiration - Timestamp Unix de l'expiration du token

nbf

Pas Avant - Le token est invalide avant ce moment

iat

Émis À - Timestamp Unix de l'émission du token

jti

JWT ID - Identifiant unique du token

Cas d'Utilisation de JWT
  • Authentification

    Émettre un JWT après connexion pour vérifier l'identité dans les requêtes suivantes

  • Échange d'Informations

    Vérifier l'identité de l'expéditeur et détecter la falsification du contenu via les signatures

  • Authentification Unique (SSO)

    Maintenir l'authentification sur plusieurs services avec un seul token

  • Autorisation API

    Authentification sécurisée des appels API entre microservices

Considérations de Sécurité
  • JWT est encodé, pas chiffré. N'incluez jamais d'informations sensibles (mots de passe, cartes de crédit, etc.) dans la charge utile.
  • Utilisez une clé secrète forte d'au moins 256 bits.
  • Définissez une expiration appropriée (exp) et envisagez d'utiliser des patterns de refresh token.
  • Stockez les tokens dans des cookies httpOnly plutôt que localStorage pour prévenir les attaques XSS.
  • Utilisez toujours HTTPS en production pour éviter l'exposition du token sur le réseau.
Algorithmes Supportés

HS256

HMAC + SHA-256. L'algorithme à clé symétrique le plus couramment utilisé

HS384

HMAC + SHA-384. Sécurité améliorée avec un hash plus long que HS256

HS512

HMAC + SHA-512. Algorithme à clé symétrique avec le hash le plus long

Cet outil ne supporte que les algorithmes symétriques basés sur HMAC (HS*). Les algorithmes asymétriques RSA/ECDSA nécessitent des paires de clés publiques/privées séparées.