Decodifica un JSON Web Token per ispezionarne l'header e il payload, con orari di scadenza ed emissione leggibili. Funziona interamente nel tuo browser; i token non vengono mai caricati.
Come usare Decoder JWT
Incolla un JWT nel formato header.payload.firma.
Leggi l'header e il payload decodificati come JSON formattato.
Controlla i tempi di scadenza ed emissione, e se il token è scaduto.
Domande frequenti
No. Decodifica e mostra l'header e il payload. La verifica della firma richiede il segreto di firma o la chiave pubblica, che non dovresti incollare in nessuno strumento web.
La decodifica legge l'header e il payload Base64url, che non sono criptati. La verifica ricalcola la firma con la chiave per dimostrare che il token è autentico e non modificato.
La decodifica avviene interamente nel tuo browser, quindi il token non viene caricato. Tratta comunque i token live come segreti ed evita di incollarli su computer condivisi.
Sono claim standard: iat è emesso-il, nbf è non-valido-prima, ed exp è il tempo di scadenza. Il decoder converte questi timestamp Unix in ora locale leggibile.
Sì. La scadenza non cambia il modo in cui un token viene decodificato, quindi puoi ispezionare i claim di un token scaduto e vedere esattamente quando è scaduto.
Un JWT è firmato, non criptato. Il payload è solo codificato in Base64url, quindi chiunque può leggerlo. Non mettere mai segreti nel payload di un JWT.
Un JSON Web Token ha tre parti separate da punti: un header codificato in Base64url, un payload codificato in Base64url e una firma. Questo decoder divide e decodifica le prime due parti istantaneamente nel tuo browser, e il token non lascia mai il tuo dispositivo.
L'uso più comune è ispezionare un token restituito da un'API: chi lo ha emesso (iss), quando scade (exp), quali permessi porta (scope o roles), e se è già scaduto. La scadenza è mostrata in ora locale leggibile, non come timestamp Unix grezzo, così puoi vedere a colpo d'occhio se il token è ancora valido.
Nota: questo strumento decodifica e mostra, non verifica la firma rispetto a una chiave segreta. Per la verifica della firma hai bisogno del segreto di firma o della chiave pubblica, che non dovrebbe mai essere inserita in uno strumento basato su browser.
Strumenti correlati
Genera hash SHA-1, SHA-256, SHA-384 e SHA-512 di qualsiasi testo, direttamente nel tuo browser.
Converti i colori tra HEX, RGB e HSL con un'anteprima in tempo reale.
Converti i timestamp Unix in date leggibili e viceversa: UTC, locale, ISO 8601 e tempo relativo. Secondi e millisecondi vengono rilevati automaticamente.
Codifica e decodifica URL e componenti URL in percentuale, compatibile con UTF-8.
Utilizziamo cookie essenziali per far funzionare il sito. Con il tuo consenso carichiamo anche Google AdSense, che imposta cookie pubblicitari. Consulta la nostra informativa sulla privacy.