Decodificatore JWT

Decodifica e ispeziona token JWT istantaneamente. Visualizza header, payload e stato di scadenza. 100% lato client, i tuoi token restano sicuri.

Incolla un token JWT sopra per decodificarlo.

Riferimento

JSON Web Tokens (JWT)

Un JWT (JSON Web Token) è un formato di token compatto e sicuro per URL definito in RFC 7519. È composto da tre parti codificate in base64url separate da punti: header.payload.signature. I JWT sono ampiamente utilizzati per l'autenticazione e lo scambio di informazioni.

Struttura

Intestazione (Header) — un oggetto JSON con il tipo di token (typ) e l'algoritmo di firma (alg), es. HS256 o RS256. Payload — un oggetto JSON con claim: claim registrati come iss (emittente), sub (soggetto), exp (scadenza), iat (emesso il); e claim personalizzati. Firma (Signature) — il risultato della firma dell'intestazione e del payload codificati con una chiave segreta o privata. Garantisce che il token non sia stato alterato.

⚠ Nota di sicurezza

Decodificare non è lo stesso che verificare. Questo strumento decodifica il token e ne visualizza il contenuto, ma non verifica la firma. Chiunque può creare un JWT con claim arbitrari. Non fidarti mai dei claim JWT senza verificare la firma lato server usando la chiave segreta o pubblica appropriata. Usa una libreria come jsonwebtoken (Node.js) o PyJWT (Python) in produzione.

Claim JWT registrati

RFC 7519 definisce sette claim registrati: iss (issuer) — chi ha creato il token. sub (subject) — l'utente o entità che il token rappresenta. aud (audience) — il/i destinatario/i previsto/i. exp (expiration time) — timestamp Unix dopo il quale il token non è valido. nbf (not before) — il token non è valido prima di questo momento. iat (issued at) — quando il token è stato creato. jti (JWT ID) — un identificatore unico per prevenire attacchi di replay.

Privacy

Tutta la decodifica viene eseguita 100% nel tuo browser. Nessun dato viene inviato a un server.

← Torna a tutti gli strumenti