Nessuno strumento usato di recente
Nessuno strumento preferito ancora

Decodificatore JWT Gratis: Ispezionare Token JWT Online Subito

36 utilizzi

Consigli JWT

Decodificare header e payload
Incolla JWT e header/payload vengono decodificati in JSON leggibile.
Senza verifica firma
Decodifica contenuto ma non verifica firma. Per ispezione.
Verificare scadenza
Il payload include exp (scadenza), iat (emissione). Verifica se è scaduto.

Domande Frequenti

Q Cos'è JWT?
A JSON Web Token: standard per trasmettere informazioni verificabili. Tre parti: header.payload.signature.
Q Il mio token viene inviato?
A No, 100% locale nel browser.
Q Verifica la firma?
A No, solo decodifica il contenuto.
Q Qual è la differenza tra decodificare e verificare una firma JWT?
A Decodificare una firma JWT significa semplicemente che lo strumento scompone la stringa codificata nelle sue parti: header, payload e la firma stessa. È come aprire una busta sigillata per vedere cosa c'è dentro. Verificare la firma, invece, serve a controllare se il token è stato effettivamente emesso dalla parte prevista. Il nostro strumento decodifica, ma non verifica, poiché la verifica della firma richiede la chiave segreta o pubblica, che non dovresti esporre.
Q Il JWT è ancora valido se modifico il payload dopo averlo decodificato?
A Modificare il payload invalida la firma. La firma è un hash crittografico dell'header e del payload codificati, combinati con una chiave segreta. Cambiare anche un solo carattere nel payload fa sì che la firma non corrisponda. Questo è lo scopo dei JWT — rilevare manomissioni. Immagina una busta sigillata con un timbro di cera. Il nostro strumento mostra il contenuto, ma qualsiasi modifica rende il token completamente invalido.
Q Perché il mio JWT mostra 'iat' nel futuro?
A Il claim 'iat' (issued at) è un timestamp Unix in secondi. Se l'orologio del tuo sistema è scollegato di più di qualche minuto, vedrai una data futura. La maggior parte dei server tollera uno scostamento di 30-60 secondi. Controlla prima la sincronizzazione dell'ora del tuo dispositivo — è la causa più comune. Il nostro strumento converte quel timestamp in una data leggibile in modo da individuare subito le discrepanze.
Q Questo decodificatore JWT funziona con qualsiasi formato di token, inclusi quelli con caratteri insoliti o strutture malformate?
A Gestisce in modo affidabile i JWT standard. Ma un token con punti mancanti, padding Base64 non valido o caratteri estranei genera un chiaro errore di parsing — vedi esattamente dove si blocca. Ad esempio, se il payload contiene un '=' extra, lo strumento evidenzia la discrepanza. Utile per il debug di token difettosi da API di terze parti. Inizia con un token correttamente codificato per evitare falsi allarmi.

Come Decodificare

Strumenti Correlati