Is this tool free to use?

Yes, the core functionality is completely free with no watermarks. Pro plans are available for higher limits.

How secure are my files?

All uploads use 256-bit TLS encryption. Files are deleted from our servers within 1 hour of processing.

Does it work on mobile?

Absolutely. The tool is fully responsive and works in any modern mobile browser.

What file formats are accepted?

Please see the accepted formats listed in the upload area above.

Strumenti per Sviluppatori

Decodificatore JWT

Decodifica e ispeziona i JSON Web Token istantaneamente nel tuo browser. Intestazione, payload, scadenza - completamente analizzati con evidenziazione della sintassi. Nessun dato lascia mai il tuo dispositivo.

Struttura Valida

Prova un token di esempio

Token Codificato Incolla il JWT qui sotto

Intestazione Algoritmo & Tipo

L'intestazione decodificata apparirà qui…

Payload Claims & Dati

Il payload decodificato apparirà qui…

Firma Base64URL (grezzo)

Cos'è un JWT?

Un JSON Web Token (JWT) è un formato di token compatto e sicuro per gli URL, progettato per trasmettere dichiarazioni (claims) tra le parti. Contiene un'intestazione, un payload e una firma crittografica codificati in Base64URL - separati da punti.

Come funziona JWT

L'intestazione definisce l'algoritmo di firma (es. HS256). Il payload contiene i claims come sub, exp e dati personalizzati. La firma verifica l'integrità utilizzando una chiave segreta o pubblica.

Casi d'uso comuni

I JWT sono ampiamente utilizzati per token di autenticazione (OAuth 2.0, OpenID Connect), intestazioni di autorizzazione API (Bearer TOKEN), sessioni Single Sign-On (SSO) e comunicazione tra servizi nelle architetture a microservizi.

Claims standard

iss (emittente), sub (soggetto), aud (destinatario), exp (scadenza), nbf (non prima di), iat (emesso il) e jti (ID JWT) sono i nomi dei claim registrati definiti nella RFC 7519.

Domande Frequenti (FAQ)

È sicuro incollare il mio token JWT qui?

Sì. Questo strumento funziona interamente nel tuo browser - nessun dato viene inviato ad alcun server. La decodifica viene eseguita utilizzando JavaScript nativo del browser (atob() + JSON.parse()). Tuttavia, tratta qualsiasi JWT di produzione attivo come dato sensibile ed evita di incollarlo in strumenti di cui non ti fidi.

Questo strumento verifica la firma del JWT?

No. La verifica della firma richiede la chiave segreta (HMAC) o la chiave pubblica (RSA/ECDSA) che è stata utilizzata per firmare il token - che solo il tuo backend possiede. Questo strumento decodifica e visualizza solo i contenuti. Per la verifica della firma, utilizza la tua libreria JWT lato server (es. jsonwebtoken per Node.js, firebase/php-jwt per PHP).

Cosa significa "scaduto" (expired) su un JWT?

Un JWT con un claim exp contiene un timestamp Unix dopo il quale il token è considerato non valido. Il tuo server dovrebbe rifiutare i token quando l'ora corrente supera il valore exp. Questo strumento confronta exp con l'orologio locale del tuo browser e etichetta il token come Scaduto o Valido di conseguenza.

Cos'è il Base64URL e in cosa differisce dal Base64?

Il Base64URL è una variante sicura per gli URL del Base64 standard. Sostituisce + con - e / con _, e omette la padding = finale. Questo rende i token JWT sicuri da includere in URL e intestazioni HTTP senza codifica percentuale. Questo decodificatore gestisce automaticamente la conversione.

Quali algoritmi supportano i JWT?

Gli algoritmi più comuni sono HS256 (HMAC-SHA256, simmetrico), RS256 (RSA-SHA256, asimmetrico) e ES256 (ECDSA-SHA256). L'algoritmo è specificato nel claim alg dell'intestazione. Evita l'algoritmo none - disabilita completamente la verifica della firma ed è una nota vulnerabilità di sicurezza.

Posso decodificare un JWT senza la chiave segreta?

Sì - l'intestazione e il payload sono solo codificati in Base64URL, non crittografati. Chiunque può decodificarli e leggerli. Questo è voluto: JWT riguarda l'integrità (chi lo ha emesso non è stato manomesso), non la riservatezza. Se devi mantenere privati i contenuti del payload, utilizza JWE (JSON Web Encryption).

Copiato!