Decodificatore JWT Gratis: Ispezionare Token JWT Online Subito
36 utilizziConsigli JWT
Decodificare header e payload
Incolla JWT e header/payload vengono decodificati in JSON leggibile.
Senza verifica firma
Decodifica contenuto ma non verifica firma. Per ispezione.
Verificare scadenza
Il payload include exp (scadenza), iat (emissione). Verifica se è scaduto.
Domande Frequenti
Cos'è JWT?
JSON Web Token: standard per trasmettere informazioni verificabili. Tre parti: header.payload.signature.
Il mio token viene inviato?
No, 100% locale nel browser.
Verifica la firma?
No, solo decodifica il contenuto.
Qual è la differenza tra decodificare e verificare una firma JWT?
Decodificare una firma JWT significa semplicemente che lo strumento scompone la stringa codificata nelle sue parti: header, payload e la firma stessa. È come aprire una busta sigillata per vedere cosa c'è dentro. Verificare la firma, invece, serve a controllare se il token è stato effettivamente emesso dalla parte prevista. Il nostro strumento decodifica, ma non verifica, poiché la verifica della firma richiede la chiave segreta o pubblica, che non dovresti esporre.
Il JWT è ancora valido se modifico il payload dopo averlo decodificato?
Modificare il payload invalida la firma. La firma è un hash crittografico dell'header e del payload codificati, combinati con una chiave segreta. Cambiare anche un solo carattere nel payload fa sì che la firma non corrisponda. Questo è lo scopo dei JWT — rilevare manomissioni. Immagina una busta sigillata con un timbro di cera. Il nostro strumento mostra il contenuto, ma qualsiasi modifica rende il token completamente invalido.
Perché il mio JWT mostra 'iat' nel futuro?
Il claim 'iat' (issued at) è un timestamp Unix in secondi. Se l'orologio del tuo sistema è scollegato di più di qualche minuto, vedrai una data futura. La maggior parte dei server tollera uno scostamento di 30-60 secondi. Controlla prima la sincronizzazione dell'ora del tuo dispositivo — è la causa più comune. Il nostro strumento converte quel timestamp in una data leggibile in modo da individuare subito le discrepanze.
Questo decodificatore JWT funziona con qualsiasi formato di token, inclusi quelli con caratteri insoliti o strutture malformate?
Gestisce in modo affidabile i JWT standard. Ma un token con punti mancanti, padding Base64 non valido o caratteri estranei genera un chiaro errore di parsing — vedi esattamente dove si blocca. Ad esempio, se il payload contiene un '=' extra, lo strumento evidenzia la discrepanza. Utile per il debug di token difettosi da API di terze parti. Inizia con un token correttamente codificato per evitare falsi allarmi.
Come Decodificare
- Incolla JWT
- Header e payload decodificati
- Controlla claims: sub, exp, iat
- Elaborazione locale — token privato