Créez des JWT signés avec plusieurs algorithmes ou décodez des jetons existants. Affichez les en-têtes, charges utiles et revendications. Tout le traitement se fait localement dans votre navigateur.
Note de sécurité
Toute la signature JWT se fait localement dans votre navigateur. Vos clés ne quittent jamais votre appareil. Cependant, vous ne devez jamais utiliser des secrets de production dans des outils en ligne - utilisez ceci uniquement pour le développement et les tests.
La clé secrète est utilisée pour signer le JWT. Gardez-la sécurisée et ne la partagez jamais.
Préréglages enregistrés est une fonctionnalité Supporter.
Historique des outils est une fonctionnalité Supporter.
Notes d'outils est une fonctionnalité Supporter.
Sélectionnez Encoder pour créer un nouveau JWT, ou Décoder pour inspecter un jeton existant. Vous pouvez changer de mode à tout moment.
Sélectionnez un algorithme (HS256 recommandé pour la plupart des cas), entrez votre charge utile en JSON et fournissez votre clé secrète. Utilisez les boutons d'ajout rapide de revendications pour ajouter des revendications standard.
Cliquez sur « Encoder JWT » pour créer votre jeton, ou collez un jeton existant en mode Décodage. La sortie est codée par couleur pour montrer l'en-tête, la charge utile et la signature.
Utilisez « Décoder ce jeton » pour vérifier votre JWT encodé. Copiez le jeton ou les sections individuelles selon vos besoins. Utilisez « Modifier dans l'encodeur » pour modifier un jeton décodé.
Un JWT se compose de trois parties séparées par des points : header.payload.signature. Chaque partie est encodée en Base64URL. L'en-tête et la charge utile sont des objets JSON, tandis que la signature est un hachage cryptographique utilisé pour la vérification.
Analyser le JSON de la charge utile et le valider. Créer l'en-tête avec l'algorithme et le type. Encoder en Base64URL l'en-tête et la charge utile. Concaténer avec un séparateur point. Signer en utilisant l'algorithme et la clé spécifiés. Ajouter la signature pour créer le jeton final.
HS256/384/512 : HMAC avec SHA-256/384/512 (symétrique, utilise une clé secrète). RS256/384/512 : RSA avec SHA-256/384/512 (asymétrique, utilise une paire de clés). ES256/384/512 : ECDSA avec courbes P-256/384/521 (asymétrique, utilise une paire de clés). PS256/384/512 : RSA-PSS avec SHA-256/384/512 (asymétrique, utilise une paire de clés). none : Aucune signature (pour tests uniquement, ne jamais utiliser en production).
Diviser le jeton par le séparateur point (.). Décoder en Base64URL l'en-tête (première partie). Décoder en Base64URL la charge utile (deuxième partie). Analyser les deux comme objets JSON. Afficher la signature (troisième partie) telle quelle.
Les JWT sont encodés, pas chiffrés - le contenu est lisible. Ne stockez jamais de données sensibles dans les JWT que vous ne voudriez pas exposer. Vérifiez toujours les signatures côté serveur avant de faire confiance aux revendications. Utilisez des temps d'expiration courts et des jetons de rafraîchissement. N'utilisez jamais de secrets de production dans des outils en ligne.
Un JWT est un format de jeton compact et sûr pour les URL, utilisé pour transmettre des informations de manière sécurisée entre les parties. Il se compose de trois parties encodées en Base64 : en-tête (info algorithme), charge utile (revendications/données) et signature (vérification). Les JWT sont couramment utilisés pour l'authentification et l'autorisation dans les applications web.
