Token JWT
Questo tool decodifica soltanto β non verifica la firma. Non incollare token di produzione attivi: usa token di test o scaduti.
Risultato
Inserisci un token JWT per iniziare
Come usare il JWT Decoder
Un token JWT ha tre parti separate da un punto: header.payload.signature. Header e payload sono JSON codificati in Base64url β questo tool li decodifica e li visualizza in chiaro.
- Incolla il token JWT nel campo di input (anche scaduto o di test).
- Premi "Decodifica" o aspetta l'auto-decode mentre scrivi.
- Leggi header (algoritmo, tipo), payload (claims) e firma.
Sicurezza: questo tool non verifica la firma crittografica. Per la verifica serve la chiave segreta o pubblica, operazione che va fatta server-side.
Claims RFC 7519 riconosciuti
issβ Issuer: chi ha emesso il tokensubβ Subject: a chi si riferisce il tokenaudβ Audience: destinatario del tokenexpβ Expiration: timestamp di scadenza (Unix)nbfβ Not Before: valido non prima di questo timestampiatβ Issued At: quando il token Γ¨ stato emessojtiβ JWT ID: identificatore unico del token
Domande frequenti
Il token viene inviato a un server?
No. Tutta la decodifica avviene nel browser tramite JavaScript. Nessun dato lascia il tuo dispositivo.
PerchΓ© non posso verificare la firma?
La verifica richiede la chiave segreta (HMAC) o la chiave pubblica (RSA/EC). Usa librerie server-side come jsonwebtoken (Node.js) o PyJWT (Python) per la verifica.
Cosa significa "token scaduto"?
Il claim exp contiene un timestamp Unix. Se Γ¨ nel passato, il token Γ¨ scaduto e non dovrebbe essere accettato dall'API.