JWT Decoder
Decodifica e analizza JSON Web Token. Visualizza header, payload, verifica scadenza e ottieni descrizioni dettagliate dei claims standard.
Decodifica JWT
Come utilizzare JWT Decoder
Incolla il token JWT
Copia il tuo token JWT (una stringa con tre parti separate da punti, ad es. eyJhbGci...) e incollala nell'area di testo "Token JWT". La decodifica avviene in tempo reale mentre digiti.
Esamina Header e Payload
Lo strumento mostra automaticamente le tre sezioni del token: l'Header (algoritmo e tipo), il Payload (claims con dati utente, scadenza, issuer) e la Signature. Ogni claim standard viene spiegato in italiano.
Verifica la scadenza
Se il payload contiene il claim "exp", lo strumento calcola automaticamente se il token è ancora valido o da quanto tempo è scaduto, mostrando un banner verde (valido) o arancione (scaduto).
Copia le singole sezioni
Usa i pulsanti di copia accanto a ciascuna sezione (Header, Payload, Signature) per copiare il JSON formattato negli appunti, pronto per l'uso in altri strumenti.
Carica un token di esempio
Clicca "Esempio" per caricare un token JWT di prova con claims tipici (sub, name, email, iat, exp, roles). Utile per esplorare le funzionalità senza avere un token reale a disposizione.
Suggerimenti
- I claim "exp", "iat" e "nbf" sono timestamp Unix: lo strumento li converte automaticamente in date leggibili in formato italiano.
- Se devi testare un'API che richiede autenticazione JWT, usa il pulsante "Esempio" per generare un token valido per l'ora corrente con roles di esempio.
- La cronologia salva automaticamente gli ultimi 10 token decodificati (senza duplicati) per un accesso rapido.
Domande frequenti
Cos'è un JSON Web Token (JWT)?
Un JWT è uno standard aperto (RFC 7519) per trasmettere informazioni in modo sicuro tra parti come oggetto JSON. È composto da tre parti codificate in Base64URL e separate da punti: Header (algoritmo), Payload (dati/claims) e Signature (firma per verificare l'integrità).
Questo strumento verifica la firma del JWT?
No, questo strumento decodifica e visualizza il contenuto del JWT ma non può verificare la firma crittografica, perché per farlo serve la chiave segreta o il certificato pubblico del server emittente. La decodifica del payload è sicura e non richiede la chiave: il payload non è cifrato, solo codificato in Base64URL.
È sicuro incollare il mio JWT in questo strumento?
Sì, tutta la decodifica avviene esclusivamente nel tuo browser: nessun dato viene inviato a server esterni. Tuttavia, è buona pratica non condividere token JWT di produzione contenenti dati sensibili su strumenti online, specialmente se non sei certo della fonte.
Quali sono i claims JWT più comuni e cosa significano?
I claims standard principali sono: "iss" (chi ha emesso il token), "sub" (soggetto, solitamente l'ID utente), "aud" (destinatario), "exp" (scadenza, timestamp Unix), "iat" (data di emissione), "nbf" (non valido prima di questa data), "jti" (ID univoco del token). I claims personalizzati come name, email e roles dipendono dall'applicazione.
Come faccio a capire se il mio token JWT è scaduto?
Incolla il token nello strumento: se contiene il claim "exp", apparirà automaticamente un banner che indica se il token è valido con il tempo rimanente alla scadenza, oppure da quanto tempo è scaduto. Il claim "exp" nel Payload viene anche evidenziato con la data leggibile in italiano.