Decodificatore e Ispettore di Token JWT
Descrizione
Decodifica i JSON Web Token per ispezionare header, payload e firme senza chiavi segrete. Ottimo per il debug dei flussi di autenticazione.
Informazioni su Decodificatore e Ispettore di Token JWT
Il Decodificatore JWT suddivide un JSON Web Token nelle sue tre parti — header, payload e firma — e decodifica i segmenti Base64URL così puoi leggere i claim in JSON leggibile. Funziona interamente nel tuo browser e non richiede mai la tua chiave segreta, perché decodificare un JWT non richiede di verificarlo. Usalo per fare il debug dei flussi di autenticazione, ispezionare la scadenza del token e confermare quali claim un servizio ha emesso.
Come usare
- Incolla il tuo JWT (la lunga stringa xxxxx.yyyyy.zzzzz) nell'input.
- L'header (algoritmo e tipo di token) e il payload (claim) vengono decodificati e mostrati come JSON formattato.
- Controlla i claim standard come exp (scadenza), iat (emesso il), iss (emittente) e sub (soggetto).
- Il segmento della firma viene mostrato ma non verificato: la verifica richiede la chiave di firma.
Domande frequenti
Decodificare un JWT richiede la chiave segreta?
No. L'header e il payload sono solo codificati in Base64URL, non cifrati, quindi chiunque può decodificarli e leggerli. La chiave segreta serve solo per verificare la firma, che dimostra che il token non è stato manomesso.
È sicuro incollare qui un token?
La decodifica avviene interamente nel tuo browser: nulla viene caricato. Tuttavia, tratta i token di accesso reali come segreti ed evita di incollare token di produzione in qualsiasi strumento che non controlli.
Perché il mio token risulta scaduto?
Il claim exp è un timestamp Unix. Se è precedente all'ora attuale, il token è scaduto e la maggior parte dei server lo rifiuterà anche se qui si decodifica ancora correttamente.
Posso leggere qui un JWE cifrato?
No. Questo strumento decodifica i JWT firmati (JWS). I token cifrati (JWE) richiedono la chiave di decifratura e non sono leggibili dall'uomo con la sola decodifica.