Handytool
UtilitàEseguito localmente

Decodificatore JWT

Decodifica i JSON Web Token e ispeziona il loro header, payload e claims — tutto nel tuo browser, mai inviato a un server.

JWT
0 righe0 byte
Decodificato
0 righe0 byte

Handytool decodifica solo header e payload. Le firme devono essere verificate lato server con la chiave dell'emittente.

Informazioni su Decodificatore JWT

Il decodificatore JWT di Handytool analizza qualsiasi JSON Web Token nel suo header e payload, evidenzia i claim standard (iss, sub, aud, iat, exp, nbf) e mostra se il token è già scaduto. Poiché la decodifica è puramente locale, puoi incollare token di accesso reali e token di sessione senza farli lasciare il tuo dispositivo. Utile durante il debug dei flussi di autenticazione, integrazioni OAuth o API di terze parti che restituiscono JWT opachi.

Funzionalità di Decodificatore JWT

  • 01

    Header, payload e claim a colpo d'occhio

    Il decodificatore divide il tuo JWT in tre segmenti, formatta in modo carino header e payload come JSON e mostra i claim standard — algoritmo, soggetto, emittente, audience, emesso-a, scadenza — in un riepilogo compatto sopra l'output grezzo.

  • 02

    Controlli di scadenza e ora

    Il claim exp viene tradotto in un timestamp ISO e contrassegnato come valido o scaduto rispetto all'orologio corrente. Stesso per nbf (not-before) e iat (issued-at). Niente più conversioni manuali Unix-to-Date.

  • 03

    Solo decodificatore — mai caricato

    I token vengono decodificati nel tuo browser usando atob nativo. Nulla viene mai inviato a un server. Sicuro per incollare JWT di produzione, token di accesso API o cookie di sessione durante il debug.

Domande frequenti su Decodificatore JWT

Cos'è un JWT?
Un JSON Web Token è un formato di token compatto e sicuro per gli URL composto da tre segmenti codificati in Base64URL separati da punti: un header (algoritmo e tipo), un payload (i claim) e una firma. I JWT vengono ampiamente utilizzati per autenticazione, autorizzazione e accesso API di breve durata.
Questo decodificatore verifica la firma?
No. Il decodificatore analizza solo header e payload per mostrare cosa c'è dentro. La verifica della firma richiede la chiave segreta o pubblica dell'emittente, che deve rimanere sul tuo server — non incollarlo mai in uno strumento web. Verifica le firme lato server nella tua app.
È sicuro incollare un JWT reale qui?
La decodifica avviene interamente nel tuo browser — il token non viene mai trasmesso. Tuttavia, i JWT non sono crittografati (chiunque abbia il token può leggere i claim), quindi trattali come le password: non condividerli, non committarli e ruotarli se trapelano.
Perché la firma viene mostrata ma non verificata?
La firma viene visualizzata in modo che tu possa confrontarla con ciò che il tuo server produce durante il debug. La verifica effettiva richiede la chiave di firma (segreto HMAC o chiave pubblica RSA/EC), alla quale il decodificatore non ha accesso e non dovrebbe avere.
Cosa significa "exp"?
exp è il claim di scadenza — un timestamp Unix dopo il quale il token deve essere rifiutato. Il decodificatore lo converte in un timestamp ISO e mostra un tag verde se è ancora nel futuro, o un tag rosso se il token è già scaduto.

Strumenti correlati

Utilità

Esplora altri strumenti

Tutti gli strumenti