Décodeur/Générateur JWT

Décodez les JSON Web Tokens (JWT) pour afficher le contenu de l'en-tête et de la charge utile. Vérifiez les signatures pour les algorithmes RSA RS*/PS*, ECDSA ES* et HMAC HS*.

À Propos du Décodeur/Générateur JWT

Les JSON Web Tokens (JWT) sont un moyen compact et sécurisé pour les URL de représenter des revendications à transférer entre deux parties. Cet outil vous permet de décoder les JWT pour inspecter leur en-tête et leur charge utile, de vérifier leurs signatures par rapport à une clé publique ou secrète, et de générer de nouveaux JWT d'exemple en utilisant divers algorithmes (HS*, RS*, ES*, PS*).

Pourquoi Utiliser Cet Outil ?

Les développeurs ont souvent besoin de déboguer les JWT reçus des systèmes d'authentification ou des API. Cet outil aide à comprendre rapidement le contenu du jeton (comme l'ID utilisateur, les rôles, l'heure d'expiration) et à vérifier son intégrité. La fonction de génération est utile pour tester les systèmes qui consomment des JWT ou pour créer des jetons d'exemple à des fins de développement.

Exemples d'Utilisation

  • Décoder un jeton d'accès reçu d'un fournisseur OAuth 2.0 pour vérifier ses revendications et son heure d'expiration.
  • Vérifier la signature d'un JWT en utilisant la clé publique du fournisseur pour s'assurer qu'il n'a pas été falsifié.
  • Générer un JWT HS256 d'exemple avec une charge utile personnalisée pour tester un point de terminaison API nécessitant une authentification JWT.

Conseils de Pro

  • Vérification de Signature : Vérifiez toujours la signature d'un JWT avant de faire confiance à son contenu, surtout s'il provient d'une source non fiable. Assurez-vous d'utiliser la bonne clé publique (pour RS*/ES*/PS*) ou le bon secret (pour HS*).
  • Revendications de Charge Utile : Faites attention aux revendications standard comme `iss` (émetteur), `aud` (audience), `exp` (heure d'expiration), `nbf` (pas avant) et `iat` (émis à). Celles-ci sont cruciales pour la sécurité et la gestion appropriée du cycle de vie du jeton.
  • Sécurité des Clés : Gardez vos secrets HMAC et vos clés privées (pour RSA/ECDSA/PSS) en sécurité. N'intégrez jamais de clés privées directement dans le code côté client pour une utilisation en production. La vérification de signature utilise généralement des clés publiques.