Decodificatore e Verificatore JWT
Decodifica JSON Web Tokens e verifica le loro firme (HS256, RS256, ES256, EdDSA) interamente nel tuo browser tramite la Web Crypto API.
Come funziona
Il decodificatore JWT (JSON Web Token) decodifica e mostra l’intestazione, il payload e la firma di un token JWT senza verificare la firma lato server.
Come usarlo:
- Incolla il tuo token JWT (formato xxxxx.yyyyy.zzzzz) nel campo di input.
- Lo strumento mostra l’intestazione e il payload decodificati in JSON leggibile.
- La firma viene mostrata ma non verificata (richiede la chiave segreta).
Esempio: Un token JWT di sessione → mostra l’ID utente, il ruolo, la data di scadenza.
Limitazioni: La verifica della firma non viene effettuata — non fidarti del contenuto di un JWT senza verifica lato server. Non decodificare token con dati sensibili su dispositivi non sicuri.
Privacy: La decodifica è completamente locale.
Esempio pratico
Incolla un JWT dal tuo flusso di autenticazione e lo strumento lo divide ai punti e decodifica ogni parte in base64url: l’header (es. {"alg":"HS256","typ":"JWT"}), il payload con claim come sub, iat ed exp, e la firma grezza. I timestamp sono resi come date leggibili e lo stato di scadenza viene calcolato per te — un token scaduto è segnalato all’istante, rispondendo alla domanda di debug più comune senza aprire un terminale. La decodifica avviene interamente in locale: un token di produzione non lascia mai la tua macchina.
Casi d'uso
- Debug di bug di autenticazione in un'app web o mobile ispezionando esattamente quali claim contiene un token
- Verificare che un token scaduto o manomesso venga correttamente rifiutato dalla tua logica di autorizzazione
- Controllare che il tuo identity provider firmi i token con la chiave e l'algoritmo giusti
- Insegnare la struttura JWT, i claim e gli errori comuni (alg none, key confusion, exp mancante) con un esempio reale
- Triage rapido di un incidente di produzione in cui un token viene rifiutato da un servizio downstream
Domande frequenti
- Il decodificatore verifica la firma?
- No, mostra solo i dati decodificati. La verifica richiede la chiave segreta lato server.
- È pericoloso decodificare un JWT?
- No, i dati sono solo codificati in Base64, non cifrati. Chiunque può leggerli.
- Cosa contiene il payload?
- Di solito l'ID utente, i ruoli, la data di scadenza e altre claim.
- Cos'è exp nel payload?
- È la data di scadenza del token come timestamp Unix.
- Il mio token viene inviato a un server?
- No, la decodifica è completamente locale.