JWT Debugger décode et inspecte les JSON Web Tokens — analyse l'en-tête, la charge utile et la signature, affiche les revendications et signale le statut d'expiration. Parfait pour déboguer les problèmes d'authentification, inspecter les jetons OAuth/OIDC et vérifier le contenu JWT sans exécuter de décodeur séparé ou consulter jwt.io.
Le JWT (JSON Web Token) est le format dominant pour les jetons d'authentification dans les API modernes — OAuth, OIDC, jetons de session et authentification API personnalisée. Mais un JWT ressemble à du charabia : trois chaînes encodées en Base64URL jointes par des points. JWT Debugger analyse cette chaîne en ses trois parties — en-tête (métadonnées de l'algorithme), charge utile (les revendications) et signature — décode chacune d'elles et affiche le contenu JSON avec coloration syntaxique. La charge utile est analysée pour les revendications connues : iss (émetteur), sub (sujet), exp (expiration), iat (émis à), nbf (pas avant), aud (audience), jti (ID du jeton). L'expiration est convertie du timestamp Unix en forme lisible et signalée comme valide, expirée ou pas encore valide. L'outil ne vérifie PAS la signature — la vérification de signature nécessite la clé secrète et sort du cadre d'un outil côté client — mais il vous montre exactement ce qu'un jeton contient afin que vous puissiez déboguer rapidement les problèmes d'authentification.
Divise le JWT sur les points et décode chaque segment en Base64URL : en-tête, charge utile et signature. Chaque partie est affichée séparément avec coloration syntaxique.
Affiche l'algorithme (HS256, RS256, ES256) et le type de jeton. Vérifiez rapidement quel schéma de signature un service utilise.
Analyse la charge utile JSON et la restitue avec des clés, chaînes, nombres et booléens avec code couleur. Toutes les revendications sont visibles en un coup d'œil.
Vérifie les horodatages exp (expiration), iat (émis à) et nbf (pas avant). Indique si le jeton est valide, expiré ou pas encore actif — avec des heures lisibles par l'homme.
Reconnaît les revendications enregistrées (iss, sub, aud, exp, iat, nbf, jti) et fournit des annotations de référence rapide pour leur signification.
Le jeton brut est affiché avec chaque segment dans une couleur distincte afin que vous puissiez distinguer visuellement l'en-tête, la charge utile et la signature.
Lorsqu'une API renvoie une erreur 401 Unauthorized, collez le jeton pour vérifier s'il est expiré, mal formé ou émis par le mauvais émetteur.
Décodez les jetons d'accès et les jetons d'ID renvoyés par les flux OAuth/OIDC pour voir les portées accordées, l'identité de l'utilisateur et l'expiration.
Confirmez que les revendications requises (rôles, permissions, ID de locataire) sont présentes dans le jeton avant de supposer que le backend les acceptera.
Lorsqu'un jeton est généré par un service backend, décodez-le pour vérifier que la charge utile correspond à ce que le service avait l'intention d'émettre.
Lors d'une revue de sécurité, décodez les jetons stockés dans le localStorage ou les cookies pour évaluer quelles données sensibles sont exposées côté client.
Cliquez sur l'icône JWT dans le dock DevSuite Pro. Un panneau s'ouvre avec un champ d'entrée de jeton et trois volets décodés.
Collez n'importe quel JWT — d'une réponse d'API, d'un en-tête Authorization, d'un cookie ou de localStorage. Incluez ou omettez le préfixe "Bearer " ; les deux fonctionnent.
Le volet Header affiche l'algorithme et le type. Confirmez qu'il utilise le schéma attendu par votre backend (souvent HS256 ou RS256).
Le volet Payload affiche toutes les revendications avec coloration syntaxique. Les revendications standards (iss, sub, exp) sont signalées avec leur fonction.
Le badge de statut affiche Valide, Expiré ou Pas encore valide. S'il est expiré, le jeton est probablement la raison pour laquelle votre authentification échoue.
Installez DevSuite Pro gratuitement et débloquez plus de 39 outils de développement pour votre navigateur.
