Decodificatore e Ispettore di Token JWT

Blog

Decodificatore e Ispettore di Token JWT

BlogCheatsheets
Loading...
Loading JWT...

Descrizione

Decodifica i JSON Web Token per ispezionare header, payload e firme senza chiavi segrete. Ottimo per il debug dei flussi di autenticazione.

Informazioni su Decodificatore e Ispettore di Token JWT

Il Decodificatore JWT suddivide un JSON Web Token nelle sue tre parti — header, payload e firma — e decodifica i segmenti Base64URL così puoi leggere i claim in JSON leggibile. Funziona interamente nel tuo browser e non richiede mai la tua chiave segreta, perché decodificare un JWT non richiede di verificarlo. Usalo per fare il debug dei flussi di autenticazione, ispezionare la scadenza del token e confermare quali claim un servizio ha emesso.

Come usare

  1. Incolla il tuo JWT (la lunga stringa xxxxx.yyyyy.zzzzz) nell'input.
  2. L'header (algoritmo e tipo di token) e il payload (claim) vengono decodificati e mostrati come JSON formattato.
  3. Controlla i claim standard come exp (scadenza), iat (emesso il), iss (emittente) e sub (soggetto).
  4. Il segmento della firma viene mostrato ma non verificato: la verifica richiede la chiave di firma.

Domande frequenti

Decodificare un JWT richiede la chiave segreta?

No. L'header e il payload sono solo codificati in Base64URL, non cifrati, quindi chiunque può decodificarli e leggerli. La chiave segreta serve solo per verificare la firma, che dimostra che il token non è stato manomesso.

È sicuro incollare qui un token?

La decodifica avviene interamente nel tuo browser: nulla viene caricato. Tuttavia, tratta i token di accesso reali come segreti ed evita di incollare token di produzione in qualsiasi strumento che non controlli.

Perché il mio token risulta scaduto?

Il claim exp è un timestamp Unix. Se è precedente all'ora attuale, il token è scaduto e la maggior parte dei server lo rifiuterà anche se qui si decodifica ancora correttamente.

Posso leggere qui un JWE cifrato?

No. Questo strumento decodifica i JWT firmati (JWS). I token cifrati (JWE) richiedono la chiave di decifratura e non sono leggibili dall'uomo con la sola decodifica.