TechPulseTechPulse

Décodeur JWT local uniquement

Analysez, déboguez et inspectez les JSON Web Tokens en toute sécurité.

Nous n'avons pas de backend.

Vos jetons ne quittent jamais votre machine. Tout le décodage est effectué en toute sécurité dans votre navigateur à l'aide de JavaScript côté client. Collez vos jetons de production avec une confiance totale.

L'en-tête apparaîtra ici...

La charge utile apparaîtra ici...

Qu'est-ce qu'un JSON Web Token (JWT) ?

Un JSON Web Token (JWT) est un standard ouvert (RFC 7519) qui définit une manière compacte et autonome de transmettre des informations en toute sécurité entre les parties sous la forme d'un objet JSON. Ces informations peuvent être vérifiées et fiables car elles sont signées numériquement. Les JWT peuvent être signés à l'aide d'un secret (avec l'algorithme HMAC) ou d'une paire de clés publique/privée utilisant RSA ou ECDSA.

Pourquoi le décodage local est critique

Les développeurs utilisent souvent des outils en ligne pour décoder les JWT pendant le débogage. Cependant, beaucoup de ces sites tiers envoient votre jeton à leurs serveurs backend. Si vous collez un jeton de production contenant des informations utilisateur sensibles ou des données de session actives, vous divulguez essentiellement des identifiants d'accès à un tiers.

Notre décodeur JWT local uniquement résout ce problème. En s'appuyant strictement sur le JavaScript côté client (utilisant les API de décodage Base64 natives du navigateur), nous garantissons que votre jeton est traité entièrement sur votre machine locale. Aucune requête réseau n'est effectuée. Aucune donnée n'est transmise.

Structure d'un JWT

Dans sa forme compacte, les JSON Web Tokens se composent de trois parties séparées par des points (.), qui sont :

  • En-tête: Se compose généralement de deux parties : le type de jeton, qui est JWT, et l'algorithme de signature utilisé, tel que HMAC SHA256 ou RSA.
  • Charge utile: Contient les revendications. Les revendications sont des déclarations sur une entité (généralement l'utilisateur) et des données supplémentaires. Il existe trois types de revendications : enregistrées, publiques et privées.
  • Signature: Pour créer la partie signature, vous devez prendre l'en-tête encodé, la charge utile encodée, un secret, l'algorithme spécifié dans l'en-tête, et signer cela.

Avis de sécurité: Bien que vous puissiez décoder l'en-tête et la charge utile d'un JWT sans la clé secrète, vous ne pouvez pas vérifier si le jeton a été falsifié ou s'il est authentiquement signé sans le secret. Notre outil omet délibérément la vérification de la signature pour rester 100% hors ligne et sans état, vous protégeant contre la transmission accidentelle de vos clés de vérification privées sur Internet.