Inspecteur et Vérificateur JWT

Décode l’en-tête/le payload d’un JWT avec coloration, diagnostique les claims standards, vérifie la signature avec des clés HS*/RS*/PS*/ES*/EdDSA et propose une démo de falsification

Collez un JWT compact (JWS) et l’outil :

  1. Décode l’en-tête et le payload (base64url) en JSON lisible et coloré.
  2. Diagnostique les claims standards (exp / nbf / iat / iss / aud / sub / jti), en signalant les expirés, non encore valides ou absents.
  3. Vérifie la signature avec un secret partagé (HS) ou une clé publique asymétrique PEM/JWK (RS/PS/ES/EdDSA).
  4. Optionnellement, resigne un payload falsifié avec votre clé pour montrer pourquoi un vérificateur DOIT fixer l’alg attendu et rejeter les jetons signés par la mauvaise partie.

Notes de sécurité :

  • La vérification a lieu côté serveur via Node crypto ; le secret/la clé ne quitte jamais la requête.
  • Les jetons alg=none sont détectés et jamais acceptés comme valides.
  • Imposez toujours l’algorithme, l’issuer et l’audience attendus sur votre backend ; cet outil est destiné à l’inspection et à l’enseignement.

Exemples de résultats

1 Exemples

Décoder et vérifier un jeton HS256 d’exemple

Affiche header, payload, diagnostic des claims et la vérification de signature avec secret partagé.

JWT decoded, claims diagnosed, signature verified against shared secret.
Voir paramètres d'entrée
{ "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY", "mode": "verify", "secret": "demo-secret-2026", "publicKey": "", "forgePayload": "", "clockSkew": 0 }

Points clés

Catégorie
Sécurité et validation
Types d’entrée
textarea, select, text, number
Type de sortie
html
Couverture des échantillons
4
API disponible
Yes

Vue d’ensemble

Cet outil en ligne vous permet de décoder instantanément l'en-tête et le payload de vos jetons JWT (JSON Web Tokens), de diagnostiquer la validité de leurs claims standards et de vérifier leur signature cryptographique en utilisant des clés symétriques (HS*) ou asymétriques (RS*, PS*, ES*, EdDSA).

Quand l’utiliser

  • Lors du débogage de l'authentification d'une application pour inspecter le contenu et l'expiration d'un jeton JWT.
  • Pour valider la signature cryptographique d'un jeton avec un secret HS* ou une clé publique PEM/JWK.
  • Pour tester la résistance de votre système face à des jetons falsifiés ou modifiés lors d'audits de sécurité.

Comment ça marche

  • Collez votre jeton JWT au format compact dans le champ prévu à cet effet.
  • Sélectionnez le mode de traitement : décodage simple, vérification de signature ou démonstration de falsification.
  • Saisissez le secret partagé ou la clé publique correspondante, puis ajustez éventuellement la tolérance d'horloge.
  • Analysez instantanément le JSON coloré du payload, le diagnostic des claims (exp, iat, iss) et le statut de la signature.

Cas d’usage

Inspection rapide des claims d'un jeton d'accès OAuth2 pour vérifier les permissions et l'expiration.
Vérification de la signature des jetons d'identité (ID tokens) générés par un fournisseur d'identité externe.
Sensibilisation et formation des développeurs aux vulnérabilités liées à la mauvaise configuration des algorithmes JWT.

Exemples

1. Vérification d'un jeton HS256 avec secret partagé

Développeur Backend
Contexte
Un développeur souhaite s'assurer que le jeton généré par son API locale contient les bonnes informations et possède une signature valide.
Problème
Vérifier la validité de la signature HS256 et inspecter les claims d'un jeton de test.
Comment l’utiliser
Collez le jeton JWT dans le champ principal, sélectionnez le mode 'Vérifier la signature' et saisissez le secret partagé dans le champ dédié.
Configuration d’exemple
Mode: verify, Secret: demo-secret-2026
Résultat
L'outil affiche le payload décodé en couleur et confirme que la signature correspond bien au secret fourni.

2. Détection d'un jeton expiré

Ingénieur QA
Contexte
Lors de tests d'intégration, un ingénieur QA reçoit une erreur d'authentification et veut vérifier si le jeton utilisé a expiré.
Problème
Analyser les claims temporels d'un JWT suspecté d'être expiré.
Comment l’utiliser
Collez le jeton JWT et sélectionnez le mode 'Décoder seulement'.
Configuration d’exemple
Mode: decode
Résultat
Le diagnostic des claims affiche clairement une alerte rouge indiquant que le claim 'exp' est dépassé par rapport à l'heure actuelle.

Tester avec des échantillons

json
Exemples JWT
Exemples complets de JWT de la structure de base des tokens aux implémentations de sécurité avancées
title token jwt
json
Exemples JSON de Terraform Plan
Fichiers Terraform plan JSON pour visualiser les dependances et revoir les changements, proches de terraform show -json
matched family json
json
Échantillons Convertisseur Hex/Unicode
Échantillons de test pour la conversion de séquences d'échappement hex et unicode
matched family json
json
Exemples de Communication Temps Réel WebRTC
Exemples complets WebRTC pour communication audio/vidéo P2P, canaux de données, partage d'écran et serveur de signalisation
matched family json
json

Hubs associés

Outils d interchange JSON et de traduction de formats
Comparez les outils de conversion JSON pour CSV, YAML, TOML, GraphQL, XML, Markdown, Excel, BSON, EDN et d autres formats structures dans un meme hub.
Outils d inspection, de diff et de transformation JSON
Regroupe dans un meme hub les outils de formatage JSON, comparaison, inspection de chemins, validation de schema, fusion et transformation pour les workflows API et donnees.
Generateurs de schemas JSON, donnees mock et fixtures API
Des outils reunis pour generation de schemas JSON, construction de payloads mock et preparation de fixtures API dans un seul hub.
Outils de formatage, de diff et de normalisation JSON
Comparez les outils de formatage JSON, diff, revue de logs, comparaison de configuration et normalisation de données dans un hub unique pour les workflows JSON lisibles et vérifiables.

FAQ

Mes clés secrètes ou publiques sont-elles sécurisées ?

Oui. La vérification s'effectue côté serveur via Node crypto et vos clés ne sont jamais stockées ni partagées.

Quels algorithmes de signature sont pris en charge ?

L'outil prend en charge les algorithmes symétriques HS256/384/512 et asymétriques RS*, PS*, ES* et EdDSA.

Comment fonctionne la démo de falsification ?

Elle permet de modifier le payload et de le resigner pour tester si votre backend rejette correctement les jetons altérés.

L'outil accepte-t-il les jetons avec l'algorithme 'none' ?

Non, les jetons utilisant 'alg=none' sont détectés et systématiquement rejetés comme invalides pour des raisons de sécurité.

À quoi sert la tolérance d'horloge (clock skew) ?

Elle permet de compenser les légers décalages horaires entre serveurs lors de la validation des claims temporels comme 'exp' ou 'nbf'.

Documentation de l'API

Point de terminaison de la requête

POST /fr/api/tools/jwt-inspector-verifier

Paramètres de la requête

Nom du paramètre Type Requis Description
token textarea Oui -
mode select Non -
secret text Non -
publicKey textarea Non -
forgePayload textarea Non -
clockSkew number Non -

Format de réponse

{
  "result": "
Processed HTML content
",
  "error": "Error message (optional)",
  "message": "Notification message (optional)",
  "metadata": {
    "key": "value"
  }
}
HTML: HTML

Documentation de MCP

Ajoutez cet outil à votre configuration de serveur MCP: 

{
  "mcpServers": {
    "elysiatools-jwt-inspector-verifier": {
      "name": "jwt-inspector-verifier",
      "description": "Décode l’en-tête/le payload d’un JWT avec coloration, diagnostique les claims standards, vérifie la signature avec des clés HS*/RS*/PS*/ES*/EdDSA et propose une démo de falsification",
      "baseUrl": "https://elysiatools.com/mcp/sse?toolId=jwt-inspector-verifier",
      "command": "",
      "args": [],
      "env": {},
      "isActive": true,
      "type": "sse"
    }
  }
}

Vous pouvez chaîner plusieurs outils, par ex.: `https://elysiatools.com/mcp/sse?toolId=png-to-webp,jpg-to-webp,gif-to-webp`, max 20 outils.

Si vous rencontrez des problèmes, veuillez nous contacter à [email protected]