Decodificatore JWT
Decodifica e ispeziona qualsiasi token web JSON. Vedi l'intestazione, il payload e la firma. Verifica firme HS256 con un segreto. Verifica se il token e scaduto. Tutta l'elaborazione avviene localmente nel tuo browser.
🔒 Tutta l'elaborazione avviene localmente nel tuo browser.
Come usare questo decodificatore JWT
- Incolla un token JWT nell'area di input — o clicca su Carica esempio.
- Il token viene decodificato istantaneamente — l|Intestazione mostra l'algoritmo e il tipo, il Payload mostra tutte le dichiarazioni.
- Lo stato di scadenza del token viene mostrato automaticamente — verde per valido, rosso per scaduto.
- Inserisci una chiave segreta sopra per verificare le firme HS256/HS384/HS512.
- Clicca su Copia Intestazione o Copia Payload per copiare sezioni individuali.
Informazioni sui token JWT
I token web JSON (JWTs) sono lo standard dominante per l'autenticazione senza stato nelle applicazioni web moderne. Quando effettui l'accesso, il server emette un JWT firmato che il client invia con ogni richiesta.
I JWT sono sicuri da decodificare e ispezionare — l'intestazione e il payload sono solo JSON codificato in Base64url. La firma e cio che previene la manomissione.
Questo strumento usa l'API Web Crypto per verificare le firme basate su HMAC (HS256, HS384, HS512) localmente. Per RS256 e altri algoritmi a chiave pubblica, sarebbe necessaria la chiave pubblica dell'emittente.
Domande Frequenti
Che cos'e un token JWT? ▼
Un JWT (token web JSON) e un formato compatto e sicuro per URL che trasmette informazioni tra parti come un oggetto JSON. Consiste di tre parti: intestazione, payload e firma. I JWT sono comunemente usati per autenticazione e autorizzazione.
Cosa mostra un decodificatore JWT? ▼
L|Intestazione contiene metadati sul token — l'algoritmo di firma e il tipo di token. Il Payload contiene le dichiarazioni — campi predefiniti come sub (soggetto), iat (emesso a) e exp (scadenza), piu dichiarazioni personalizzate. La Firma e la prova crittografica.
Come verifico una firma JWT? ▼
Inserisci il token nel decodificatore, poi inserisci la chiave segreta (per algoritmi HMAC come HS256) e clicca su Decodifica JWT. Solo gli algoritmi basati su HMAC possono essere verificati localmente.
Il mio JWT viene inviato a un server? ▼
No. Tutta la decodifica e la verifica avvengono al 100% nel tuo browser. Il token non lascia mai il tuo dispositivo. Puoi usare questo strumento anche offline.
Cosa significa scaduto? ▼
La dichiarazione exp (scadenza) in un JWT specifica quando il token diventa invalido. Se l'ora attuale e dopo questo timestamp, il token e considerato scaduto. Questo strumento mostra lo stato di scadenza.
Posso decodificare un JWT senza verifica della firma? ▼
Si. Puoi decodificare qualsiasi JWT senza segreto — l'intestazione e il payload sono solo JSON codificato in Base64url che chiunque può leggere.
Qual e la differenza tra HS256 e RS256? ▼
HS256 (HMAC con SHA-256) e un algoritmo simmetrico — lo stesso segreto viene usato per firmare e verificare. RS256 (RSA con SHA-256) e asimmetrico — usa una chiave privata per firmare e una chiave pubblica per verificare.