Decodificatore JWT

Questo è uno strumento online gratuito progettato per gli sviluppatori per decodificare e analizzare in modo sicuro i contenuti dei JSON Web Token (JWT). Verifica istantaneamente i dati del payload, l'header dell'algoritmo e controlla facilmente le scadenze dei token.

Poiché i token di solito contengono dati di autenticazione sensibili, questo strumento viene eseguito interamente con "Elaborazione Lato Client". Ciò garantisce che i JWT incollati vengano analizzati esclusivamente dal browser del tuo dispositivo e assolutamente NESSUNA informazione viene trasmessa ai nostri server o salvata ovunque online.

1. Incolla il Token: Prendi la tua stringa JWT grezza e codificata (che di solito inizia con `ey...`) e incollala nella casella di testo "JWT Codificato" a sinistra.
2. Analisi Istantanea: Lo strumento dividerà e decodificherà istantaneamente il token in formati JSON stampati in modo leggibile ed evidenziati dalla sintassi sul lato destro.
3. Verifica Header e Payload: La casella rossa "Header" mostra metadati come l'algoritmo. La casella viola "Payload" rivela le attestazioni effettive (es. ID utente, ruoli).
4. Controllo Scadenza: Se il payload contiene timestamp `exp` o `iat` standard, lo strumento li convertirà automaticamente nella tua ora locale. Un badge ti avviserà se il token è attualmente "Valido" o "Scaduto".

JWT (JSON Web Token)

Un token firmato contenente un payload in formato JSON. Ampiamente utilizzato nelle applicazioni web come meccanismo di autenticazione e autorizzazione.

Header (Intestazione)

La prima parte di un JWT. Memorizza le informazioni sul tipo di token (typ) e sull'algoritmo di firma (alg), codificate in Base64Url.

Payload (Dati)

La porzione di dati principale di un JWT. Contiene attestazioni (claims) come ID utente, autorizzazioni, timestamp di scadenza (exp) ed emissione (iat).

Firma (Signature)

La parte di rilevamento delle manomissioni di un JWT. Creato firmando l'header e il payload con una chiave segreta per garantire l'autenticità del token.

Codifica Base64Url

Uno schema di codifica che converte i dati binari in stringhe sicure per gli URL. Ogni parte di un JWT (Header, Payload, Firma) è codificata utilizzando questo schema.

Attestazioni (Claims)

Singole informazioni all'interno del payload JWT. Include attestazioni riservate come iss (emittente), sub (soggetto), exp (scadenza), iat (emesso il) e attestazioni personalizzate specifiche dell'applicazione.

Scadenza (exp)

Il timestamp UNIX in cui il token JWT diventa non valido. Questo strumento converte questo valore in un formato data e ora leggibile dall'uomo per una facile verifica.

• Debug dell'API: Verifica se il tuo server di autenticazione backend sta raggruppando correttamente l'ID utente e i ruoli nel payload del token senza scrivere script di decodifica personalizzati.
• Controllo degli errori 401 Non Autorizzato: Prendi il token dalla memoria locale del tuo browser o dalla scheda di rete dello sviluppatore per verificare istantaneamente se un timestamp di scadenza (`exp`) è scaduto.
• Implementazione Frontend: Conferma visivamente l'esatta struttura JSON del payload JWT decodificato per mappare correttamente le proprietà dell'utente nella tua applicazione frontend React/Vue.

Q.Il token JWT che inserisco viene inviato a un server?

No. La decodifica JWT viene eseguita interamente da JavaScript all’interno del browser. Il token non viene mai inviato all’esterno, quindi anche i token sensibili possono essere analizzati in sicurezza.

Q.Questo strumento può verificare la firma JWT?

Questo strumento è specializzato nella decodifica (analisi) della struttura di un JWT. La verifica della firma richiede una chiave segreta; in produzione, si prega di eseguire la verifica lato server.

Q.Posso decodificare un JWT già scaduto?

Sì. Questo strumento decodifica e visualizza semplicemente il contenuto del token, quindi può analizzare i token indipendentemente dallo stato di scadenza. Puoi anche vedere a colpo d’occhio se il token è scaduto.

Q.Le tre parti JWT (Header, Payload, Signature) sono codificate a colori?

Sì. L’Header (rosso), il Payload (viola) e la Firma (blu) si distinguono visivamente, con i contenuti di ciascuna parte mostrati come JSON formattato.

Q.Cosa succede se inserisco un formato JWT non valido?

Viene visualizzato un messaggio di errore e vieni guidato su quale parte della formattazione è problematica. Inserisci un JWT valido nel formato "xxx.yyy.zzz".

Q.I timestamp UNIX vengono convertiti automaticamente?

Sì. I valori di timestamp UNIX come exp (scadenza) e iat (emesso il) vengono convertiti automaticamente in un formato data e ora leggibile dall’uomo.

Q.Posso usarlo su uno smartphone?

Sì. Lo strumento è reattivo, quindi puoi incollare, decodificare e rivedere i JWT anche da un browser per smartphone.