Decoder JWT
Incolla un JSON Web Token per vedere header e payload. Il decoder gira nel browser — il token non lascia il dispositivo.
Utile per il debug di API, per ispezionare token OAuth o OpenID e per vedere quali claim porta un access token.
Intestazione
Decoded header will appear here.
Payload
Decoded payload will appear here.
Riepilogo claim
Solo decodifica — niente verifica della firma
Questo strumento decodifica solo header e payload del token. Non verifica la firma, perché la verifica richiede il segreto o la chiave pubblica e farlo nel browser non ha senso — tutto ciò che incolli qui è già esposto all'utente. Considera il risultato come solo informativo.
Cos'è un JWT?
Un JSON Web Token (RFC 7519) è una stringa compatta formata da tre sezioni codificate in Base64url separate da punti: header.payload.signature. L'header indica l'algoritmo di firma, il payload porta i claim, e la firma permette al server di provare che il token non è stato manomesso.
Esempi
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
FAQ
Questo strumento verifica la firma?
No. Decodifica solo header e payload. La verifica della firma richiede il segreto o la chiave pubblica e deve avvenire su un server affidabile, non nel browser.
Il mio token viene inviato a un server?
No. Il decoder gira interamente nel browser. Il token viene analizzato localmente e non lascia mai il dispositivo.
Cosa significano exp, iat e nbf?
Sono claim registrati standard: iat è l'istante di emissione, nbf il «non prima di» ed exp l'istante di scadenza. Tutti e tre sono timestamp Unix in secondi.
Perché i miei caratteri Base64 sono diversi dal Base64 normale?
JWT usa Base64url, che sostituisce + con -, / con _ e rimuove il padding =. Il decoder lo gestisce automaticamente.