Vai al contenuto
FileTinker
Tutti gli strumenti per file

JWT Decoder

Incolla un JSON Web Token per decodificarne all'istante header e payload e vedere quando scade. Esegue solo la decodifica e funziona interamente nel tuo browser, così anche i token di produzione restano privati.

Come decodificare un JWT

  1. Incolla il tuo JWT (la stringa header.payload.signature).
  2. Leggi header e payload decodificati come JSON formattato.
  3. Controlla la scadenza e l'orario di emissione, mostrati come date leggibili.

Informazioni sui JSON Web Token

Un JSON Web Token (JWT) racchiude tre parti codificate in base64url e separate da punti: un header (l'algoritmo di firma e il tipo), un payload (i claim, come il soggetto e la scadenza) e una firma. Decodificare le prime due parti rivela esattamente ciò che un token afferma, una cosa preziosa quando si esegue il debug di autenticazione e autorizzazione.

Questo strumento esegue solo la decodifica: non verifica la firma, perché la verifica richiede il segreto o la chiave pubblica con cui è stato firmato il token. Ricorda che il payload di un JWT è codificato, non cifrato: chiunque possieda il token può leggerlo, quindi non inserire mai segreti nei claim. Qui la decodifica avviene in locale, perciò incollare un token reale non lo espone ad alcun server.

Domande frequenti

Questo strumento verifica la firma?

No. Questo è un decodificatore, non un verificatore: legge header e payload ma non controlla la firma, operazione che richiederebbe il segreto di firma o la chiave pubblica. Non fidarti mai del contenuto di un token senza verificarlo lato server.

Il mio token viene inviato da qualche parte?

No. La decodifica avviene interamente nel tuo browser, quindi il tuo JWT non viene mai caricato né registrato: sicuro per ispezionare token reali e sensibili.

Un JWT è cifrato?

No. Header e payload sono codificati in base64url, non cifrati, quindi chiunque abbia il token può leggerli. La firma dimostra solo che il token non è stato manomesso; non ne nasconde il contenuto.

Cosa significano exp e iat?

Sono claim temporali standard: iat indica quando il token è stato emesso ed exp quando scade, entrambi come timestamp Unix. Questo strumento li mostra come date leggibili e segnala se il token è scaduto.