JotTools .
Italiano
English Español Türkçe Français Italiano Português
Tutti gli strumenti

Decoder JWT

Decoder JWT online gratuito. Incolla un JSON Web Token per leggere subito header e payload come JSON pulito. Funziona nel browser, niente viene caricato.

Cosa fa il Decoder JWT

Questo strumento prende un JSON Web Token e lo suddivide subito in parti leggibili, così puoi vedere cosa contiene davvero. Incolla un token e mostra l’header decodificato (l’algoritmo e il tipo di token) e il payload (i claim, come subject, issuer, scadenza e qualsiasi campo personalizzato), entrambi formattati come JSON pulito e indentato. È utile per sviluppatori backend e frontend, tester QA e chiunque stia analizzando un flusso di autenticazione e debba confermare cosa trasporta un token prima di fidarsene.

Una nota sull’ambito: questo decoder legge un token, non ne verifica la firma. Decodificare non equivale a validare, quindi non considerare mai un payload decodificato come prova che il token sia genuino. Usalo per ispezionare e risolvere problemi, non per autenticare.

Come usare il Decoder JWT

  1. Copia il tuo JWT dall’app, dai log, dallo storage del browser o da una risposta API.
  2. Incollalo nel riquadro Input. Un token è formato da tre blocchi base64url uniti da punti, cioè header.payload.firma.
  3. Il risultato decodificato compare subito nel riquadro Output, con il blocco HEADER e il blocco PAYLOAD come JSON leggibile. Non c’è alcun pulsante da premere.
  4. Premi Copia per prendere l’output decodificato e inserirlo in un ticket, in una nota o in un commento di codice.

Se vedi un errore relativo a una struttura header, payload e firma attesa, il token è incompleto oppure ne hai incollato solo una parte. Assicurati che tutte e tre le sezioni separate dai punti siano presenti.

Perché decodificare i JWT qui

Tutto avviene interamente nel tuo browser. Il token viene decodificato con JavaScript locale e non viene mai inviato altrove, cosa che conta molto quando i token possono contenere dati personali o concedere accessi. È privato per impostazione predefinita, istantaneo, gratis e senza registrazione. Trovi altri strumenti per sviluppatori nella categoria dev.

Suggerimento: i campi exp e iat sono timestamp Unix in secondi. Moltiplicandoli per 1000 li leggi come una data normale nella maggior parte dei linguaggi, un modo rapido per capire se un token è già scaduto.

Domande frequenti

Il decoder JWT verifica la firma del token?
No. Questo strumento decodifica header e payload per farti leggere i claim, ma non verifica la firma. Decodificare non è validare, quindi non considerare un payload decodificato come prova che il token sia autentico. Verifica la firma sul tuo server con la chiave di firma.
Il mio token viene inviato a un server quando lo decodifico?
No. La decodifica avviene interamente nel tuo browser con JavaScript locale. Il token non lascia mai il dispositivo, un aspetto importante perché i JWT possono contenere dati personali o diritti di accesso.
Perché ottengo un errore di token JWT non valido?
Un JWT deve avere tre sezioni base64url unite da punti, ovvero header, payload e firma. Se hai incollato solo una parte del token o una stringa malformata, il decoder non riesce a trovare header e payload. Incolla il token completo e riprova.
Come leggo i campi exp e iat nel payload?
Sono timestamp Unix misurati in secondi. Moltiplica il valore per 1000 per convertirlo in millisecondi, poi formattalo come data nella tua lingua per verificare quando il token è stato emesso o quando scade.