Decodificatore JWT
Ispeziona header e claim di un token JWT.
- Istantaneo
- Gratis
- Privato (elaborato localmente)
- Senza registrazione
Guarda cosa trasporta davvero il tuo token
Un JWT sembra rumore — in realtà è JSON codificato in base64url, leggibile da chiunque. Incolla un token: lo strumento separa e decodifica header e payload, formatta il JSON, converte i timestamp in date e ti dice se il token è scaduto.
Anatomia di un JWT
| Parte | Contenuto | Esempio |
|---|---|---|
| Header | Algoritmo e tipo | {"alg":"HS256","typ":"JWT"} |
| Payload | I claim (dati di business) | {"sub":"1234567890","exp":1716239022} |
| Firma | HMAC o firma asimmetrica | SflKxwRJ… (binario codificato) |
I claim registrati da conoscere
- iss (issuer): chi ha emesso il token — il tuo server di autenticazione.
- sub (subject): a chi si riferisce — l’identificatore dell’utente.
- aud (audience): a chi è destinato — l’API che deve accettarlo.
- exp / nbf / iat: la finestra di validità temporale, in timestamp Unix.
Promemoria di sicurezza: decodificare non è verificare. Un token dal contenuto plausibile può essere contraffatto; fa fede solo la verifica della firma lato server (con la chiave e l’algoritmo giusti). Non conservare segreti nel payload: è pubblico.
Domande frequenti
Che cos’è un JWT?
Un JSON Web Token (RFC 7519) è un token compatto composto da tre parti codificate in base64url e separate da punti: un header (algoritmo), un payload (i claim: identità, scadenza…) e una firma che ne garantisce l’integrità.
Decodificare un JWT significa «violarlo»?
No. Header e payload non sono cifrati, solo codificati in base64url: chiunque può leggerli. La sicurezza del JWT si basa sulla firma, che impedisce la modifica, non la lettura.
Questo strumento verifica la firma?
No, volutamente: decodifica e mostra il contenuto, nient’altro. La verifica della firma richiede la chiave segreta o pubblica e va fatta lato server. Non fidarti mai di un token solo in base al contenuto decodificato.
Cosa significano exp, iat e nbf?
Sono timestamp Unix: exp = data di scadenza, iat = data di emissione, nbf = data prima della quale il token è invalido. Lo strumento li converte in date leggibili e indica se il token è scaduto.
È prudente incollare qui un token reale?
La decodifica è 100 % locale; nulla viene trasmesso. Per igiene, evita comunque di maneggiare token di produzione validi fuori da ambienti sicuri, e revoca qualsiasi token esposto per errore.