Decodificatore JWT

Decodifica e ispeziona i JSON Web Token — intestazione, payload e scadenza

Che cos'è e come funziona?

Un decodificatore JWT prende un JSON Web Token e mostra cosa contiene: l'header (algoritmo e tipo di token), il payload (i claim — ID utente, ruoli, scadenza) e la firma. I JWT sono lo standard de facto per l'autenticazione senza stato nelle API moderne e nelle single-page application: il server firma un token una volta, e ogni richiesta successiva dimostra l'identità portandolo con sé, senza memorizzare sessioni. Un JWT è solo tre segmenti codificati in Base64Url separati da punti — chiunque può quindi decodificarlo e leggerlo; solo la firma richiede la chiave segreta.

Questo strumento decodifica header e payload all'istante, evidenzia i claim registrati e converte le date numeriche come exp, iat e nbf in timestamp leggibili, così vedi a colpo d'occhio se un token è scaduto. La decodifica avviene interamente nel browser — il token non viene inviato da nessuna parte, il che conta perché i token di produzione danno accesso reale.

Casi d'uso

• Debug di errori 401: decodifica il token che la tua app sta inviando per controllare se è scaduto (exp), non ancora valido (nbf) o manca un claim richiesto.
• Ispezionare token di terze parti: vedi esattamente quali dati utente e scope un provider OAuth/OpenID Connect inserisce nei suoi access o ID token.
• Verificare un'integrazione: conferma che il tuo backend emetta token con audience (aud), issuer (iss) e claim di ruolo corretti prima di andare in produzione.

Domande frequenti

È sicuro incollare un JWT qui?

La decodifica avviene interamente nel browser — il token non lascia mai il tuo dispositivo. Tratta comunque i token di produzione come password: danno accesso finché non scadono. Quando possibile, testa con token scaduti o di staging.

Perché si può leggere il token senza la chiave segreta?

I JWT sono firmati, non cifrati. Base64Url è una codifica che chiunque può invertire — la chiave segreta serve solo a creare o verificare la firma. Non mettere mai dati sensibili (password, numeri di carta) nel payload di un JWT; chiunque abbia il token può leggerli.

Questo strumento verifica la firma?

No — decodifica il contenuto. La verifica della firma richiede il segreto (HMAC) o la chiave pubblica (RSA/ECDSA) e va fatta lato server. Un token decodificato che sembra corretto può comunque essere contraffatto se il backend non verifica.

Cosa sono exp, iat e nbf?

Claim temporali registrati, come timestamp Unix: iat è quando il token è stato emesso, exp quando scade e nbf ("not before") il primo momento di validità. Il decodificatore converte tutti e tre in date leggibili e segnala i token scaduti.

Sviluppatore

Generatore UUID · Convertitore di timestamp · Codificatore Base64 · Decodificatore Base64 · Generatore di hash · Convertitore di colori