Handytool
Guida per sviluppatori5 min di letturaAggiornato 24 feb 2026

Utility per sviluppatori istantanea

Decodifica Qualsiasi JWT e Ispeziona i Suoi Claim Istantaneamente

Il decodificatore JWT di Handytool divide qualsiasi JSON Web Token in header, payload e claim — con controlli di scadenza e timestamp leggibili — tutto nel tuo browser, senza toccare alcun server.

Apri Decodificatore JWTTutti gli articoli

Punti salienti

  • 01Decodifica qualsiasi JWT e ispeziona header, payload e claim standard in un solo incolla.
  • 02I claim exp, nbf e iat vengono convertiti in timestamp leggibili con tag valido/scaduto.
  • 03La decodifica è puramente locale — sicura per incollare token di produzione reali durante il debug.
  • 04Il decodificatore non verifica le firme — questo deve accadere lato server con la chiave dell'emittente.

Perché Hai Bisogno di un Decodificatore JWT

I JSON Web Token sembrano rumore casuale finché non scopri che sono tre segmenti codificati in Base64URL separati da punti. Il primo segmento è l'header (algoritmo e tipo di token), il secondo è il payload (i claim: ID utente, ruoli, scadenza) e il terzo è la firma. Quando esegui il debug di un problema di autenticazione, una sessione scaduta o un'integrazione OAuth interrotta, la prima cosa che devi fare è leggere il payload.

Farlo manualmente significa dividere per punti, decodificare Base64URL e poi convertire i timestamp Unix in date leggibili. Il decodificatore JWT di Handytool fa tutto questo automaticamente e aggiunge tag di validità sui claim temporali in modo da poter vedere a colpo d'occhio se un token è ancora attivo.

Come Decodificare un Token JWT

  1. 01

    Copia il JWT

    Prendi il token dagli strumenti di sviluppo del tuo browser (Application > Cookies, o il pannello Network nell'header Authorization), da un file di log o dal tuo client API.

  2. 02

    Incollalo nel decodificatore

    Incolla il token completo — inclusi tutti e tre i segmenti separati da punti — nella casella di input. Il decodificatore identifica i segmenti automaticamente.

  3. 03

    Leggi l'header e il payload

    Lo strumento divide il token e stampa in modo leggibile l'header (algoritmo, tipo) e il payload (tutti i claim) come JSON formattato.

  4. 04

    Controlla i claim temporali

    I timestamp Unix exp (scadenza), nbf (non prima) e iat (emesso a) vengono convertiti in date ISO. Il decodificatore contrassegna exp come verde (valido) o rosso (scaduto) rispetto all'ora locale attuale.

Claim JWT Standard Spiegati

Questi nomi di claim registrati appaiono nella maggior parte dei JWT.

  • 01iss (Issuer) — identifica chi ha creato il token, tipicamente un URL o nome del servizio.
  • 02sub (Subject) — il principale che il token rappresenta, solitamente un ID utente.
  • 03aud (Audience) — il/i destinatario/i previsto/i del token; il tuo server dovrebbe rifiutare i token destinati ad altri.
  • 04exp (Expiration) — timestamp Unix dopo il quale il token deve essere rifiutato.
  • 05nbf (Not Before) — timestamp Unix prima del quale il token deve essere rifiutato.
  • 06iat (Issued At) — timestamp Unix quando il token è stato creato; utile per rilevare token obsoleti.

Sicuro Incollare Token Reali Durante il Debug

La decodifica JWT avviene interamente nel tuo browser utilizzando la funzione nativa atob e JSON.parse. Nulla viene trasmesso a alcun server — il tuo token viene decodificato in memoria e visualizzato localmente. Puoi incollare in sicurezza token di accesso reali e token di sessione da ambienti di sviluppo o staging per eseguire il debug dei flussi di autenticazione.

Detto questo, tratta i JWT come password. Concedono accesso ai tuoi sistemi per tutta la loro durata. Non incollare token di produzione da account ad alto privilegio in alcuno strumento a meno che tu non sia sicuro delle garanzie di privacy dello strumento — e ruota sempre un token se ritieni che possa essere stato esposto.

Domande Frequenti sul Decodificatore JWT

Cos'è un JWT?

Un JSON Web Token è un formato compatto e sicuro per gli URL costituito da tre segmenti codificati in Base64URL (header, payload, firma) separati da punti. I JWT portano claim — asserzioni su un utente o una sessione — e vengono utilizzati per autenticazione, autorizzazione e accesso API.

Questo decodificatore verifica la firma JWT?

No. Il decodificatore analizza solo l'header e il payload. La verifica della firma richiede la chiave segreta o pubblica dell'emittente e deve avvenire nel codice della tua applicazione utilizzando una libreria affidabile.

È sicuro incollare un token di accesso reale qui?

La decodifica è interamente locale — il token non viene mai trasmesso. Tuttavia, i JWT concedono accesso reale, quindi trattali come password. Non condividerli, non eseguirne il commit nel controllo del codice sorgente e ruotali se potrebbero essere stati esposti.

Cosa significa il claim exp?

exp è il timestamp di scadenza — un numero intero Unix che rappresenta il momento in cui il token smette di essere valido. Il decodificatore lo converte in una data ISO leggibile e lo contrassegna come valido o scaduto rispetto all'ora locale attuale.

Perché il payload JWT è visibile senza una chiave?

I payload JWT sono codificati in Base64URL, non crittografati. Sono progettati per essere leggibili — la firma prova solo l'autenticità, non la riservatezza. Non inserire dati veramente segreti in un payload JWT a meno che non utilizzi JSON Web Encryption (JWE).

Il decodificatore è gratuito?

Sì. Handytool è gratuito senza registrazione, senza limiti di velocità e senza raccolta di dati.

Strumenti correlati

Continua con gli strumenti Utilità

strumenti Utilità