Décodeur JWT

Un JWT (JSON Web Token) est composé de trois parties séparées par des points : l'en-tête (header), la charge utile (payload) et la signature.

Chaque partie est encodée en Base64URL. L'en-tête indique le type de token et l'algorithme de signature. Le payload contient les claims (données). La signature garantit l'intégrité du token.

HS256 (HMAC-SHA256) utilise une clé secrète symétrique partagée entre l'émetteur et le vérificateur — simple mais moins flexible. RS256 (RSA-SHA256) utilise une paire de clés asymétriques : la clé privée signe le token, la clé publique le vérifie.

RS256 est recommandé pour les architectures distribuées car la clé publique peut être partagée librement sans compromettre la sécurité.

Le claim exp (expiration time) est un timestamp Unix indiquant la date et l'heure au-delà desquelles le token ne doit plus être accepté. Il est exprimé en secondes depuis le 1er janvier 1970 (epoch).

Par exemple, exp: 1700000000 correspond à novembre 2023. Un serveur doit toujours vérifier que la date courante est inférieure à exp avant d'accepter un token.

Décoder un JWT (lire son contenu) est toujours possible sans clé, car l'encodage Base64URL n'est pas un chiffrement. Cet outil décode uniquement — il ne valide pas la signature cryptographique.

Pour une utilisation en production, la vérification de la signature doit impérativement être effectuée côté serveur avec la clé appropriée. Ne jamais faire confiance à un JWT sans vérifier sa signature côté serveur.

Les JWT sont utilisés pour l'authentification (token Bearer dans les headers HTTP Authorization), les sessions stateless, l'échange d'informations entre services (microservices, API REST), le SSO (Single Sign-On) et les webhooks signés.

Ils sont particulièrement adaptés aux architectures distribuées où plusieurs services doivent vérifier l'identité d'un utilisateur sans interroger une base de données centrale.