Decodificatore JWT
Decodifica e analizza JSON Web Token istantaneamente. 100% lato client — i tuoi token non escono mai dal tuo browser.
I tuoi dati vengono elaborati interamente nel tuo browser. Nulla viene caricato su alcun server.
JWT Non Valido
Header
Payload
Firma
La verifica della firma richiede la chiave segreta. Questo strumento decodifica soltanto i token.
Incolla un token JWT sopra per decodificarlo
100% Lato Client
Tutta la decodifica avviene nel tuo browser. I tuoi token non toccano mai i nostri server.
Gratuito e Senza Registrazione
Utilizzo illimitato senza creare un account. Nessuna pubblicità, nessun tracciamento.
Decodifica Istantanea
Decodifica JWT mentre digiti con analisi in tempo reale e conversione dei timestamp.
Strumenti Correlati
Hai bisogno di uno strumento personalizzato?
Sviluppo MVP e applicazioni web su misura in 7 giorni. Dall'idea alla produzione — veloce, affidabile e scalabile. 9+ anni di esperienza full-stack.
ContattoDomande Frequenti
Cos'è un JWT (JSON Web Token)?
Un JSON Web Token (JWT) è un formato di token compatto e sicuro per gli URL, utilizzato per trasmettere informazioni in modo sicuro tra le parti. I JWT sono comunemente usati per l'autenticazione e l'autorizzazione nelle applicazioni web. Sono composti da tre parti: un header (algoritmo e tipo di token), un payload (claim/dati) e una firma (per la verifica). I JWT sono autonomi, il che significa che tutte le informazioni necessarie per verificare il token sono contenute nel token stesso.
Questo strumento può verificare le firme JWT?
No, questo strumento decodifica e visualizza solo il contenuto di un JWT. La verifica della firma richiede la chiave segreta (per algoritmi HMAC) o la chiave pubblica (per algoritmi RSA/ECDSA) utilizzata per firmare il token. Queste chiavi non dovrebbero mai essere condivise pubblicamente o inserite in strumenti online. Questo decodificatore è progettato per ispezionare il contenuto dei token durante lo sviluppo e il debug — verifica sempre le firme sul tuo server usando librerie crittografiche appropriate.
Quali sono le tre parti di un JWT?
Un JWT è composto da tre parti separate da punti (xxxxx.yyyyy.zzzzz): <strong>1) Header</strong> — contiene metadati sul token, incluso il tipo di token (JWT) e l'algoritmo di firma (es. HS256, RS256). <strong>2) Payload</strong> — contiene i claim, ovvero dichiarazioni sull'utente e metadati aggiuntivi come il tempo di scadenza. <strong>3) Firma</strong> — creata codificando header e payload e firmando con una chiave segreta per garantire che il token non sia stato manomesso.
Cosa significano i claim comuni come exp, iat, sub?
I claim JWT sono coppie chiave-valore nel payload. I claim registrati comuni includono: <strong>exp</strong> (Expiration Time) — timestamp Unix di quando scade il token; <strong>iat</strong> (Issued At) — timestamp Unix di quando è stato creato il token; <strong>sub</strong> (Subject) — identificatore di chi riguarda il token, di solito un ID utente; <strong>iss</strong> (Issuer) — chi ha creato e firmato il token; <strong>aud</strong> (Audience) — destinatario previsto del token; <strong>nbf</strong> (Not Before) — il token non è valido prima di questo momento; <strong>jti</strong> (JWT ID) — identificatore univoco del token.
Questo strumento è gratuito e sicuro?
Sì, questo decodificatore JWT è completamente gratuito e non richiede registrazione. Tutta la decodifica avviene interamente nel tuo browser usando JavaScript — i tuoi token non vengono mai inviati a nessun server. Questo lo rende sicuro per decodificare token contenenti informazioni sensibili durante lo sviluppo. Tuttavia, dovresti comunque evitare di condividere pubblicamente i token di produzione, poiché potrebbero contenere informazioni sensibili sugli utenti.