Decodificatore e Verificatore JWT
Decodifica JSON Web Tokens e verifica le loro firme (HS256, RS256, ES256, EdDSA) interamente nel tuo browser tramite la Web Crypto API.
Come funziona
Incolla un JSON Web Token nell'input — lo strumento lo divide istantaneamente nelle sue tre parti codificate Base64URL (header, payload, firma), decodifica le prime due in JSON e le formatta. I claim standard come iat, nbf, exp, iss, sub e aud vengono mostrati come date o etichette leggibili per individuare a colpo d'occhio token scaduti o non ancora validi. Per verificare la firma, incolla il segreto di firma (per HS256/HS384/HS512) o la chiave pubblica in formato PEM o JWK (per RS256, ES256, ES384, ES512 o EdDSA). Lo strumento usa la Web Crypto API per ricalcolare la firma su header.payload e confrontarla con il segmento di firma in tempo costante — un badge verde significa che il token è autentico, uno rosso che la firma è invalida o è stata usata la chiave sbagliata. Tutto viene eseguito localmente: token, segreto e chiave non lasciano mai il browser, ed è per questo che la maggior parte degli strumenti JWT online si rifiuta di verificare le firme.
Casi d'uso
- Debug di bug di autenticazione in un'app web o mobile ispezionando esattamente quali claim contiene un token
- Verificare che un token scaduto o manomesso venga correttamente rifiutato dalla tua logica di autorizzazione
- Controllare che il tuo identity provider firmi i token con la chiave e l'algoritmo giusti
- Insegnare la struttura JWT, i claim e gli errori comuni (alg none, key confusion, exp mancante) con un esempio reale
- Triage rapido di un incidente di produzione in cui un token viene rifiutato da un servizio downstream