Un JSON Web Token se compose de trois segments encodés en base64url séparés par des points : header.payload.signature. Le header déclare l'algorithme de signature (alg) et le type de token ; le payload porte les claims — le sujet du token (sub), son émetteur (iss) et son expiration (exp).
Le base64url est un encodage, pas un chiffrement : quiconque détient un JWT peut lire son contenu — c'est exactement ce que fait cet outil. Ne mettez jamais de secrets dans un payload JWT. Ce qui rend un JWT digne de confiance, c'est sa signature, que seul le détenteur de la clé peut produire.
Ce décodeur ne vérifie volontairement pas les signatures — cela nécessite le secret ou la clé publique et relève de votre backend. Utilisez-le pour comprendre pourquoi un token est rejeté : mauvaise audience, exp dépassé, décalage d'horloge sur nbf, ou algorithme inattendu.