CiphersOnline
Cifratura Online
Codifica
Decoder JWT

Decoder JWT online

Decodifica e ispeziona JWT e token Bearer direttamente nel browser. Visualizza header, payload, claims, ora di scadenza e struttura del token per il debug dell'autenticazione, i flussi OAuth e le integrazioni API.

Input
0 caratt. · 0 byte
Prova:
Risultato
✓ Decodifica del token senza verifica della firma ✓ Visualizzazione di intestazione e payload ✓ Nessuna chiave necessaria per leggere il contenuto ✓ Elaborazione locale nel browser
Esempi
Decodificare un JWT di base
Input eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ik1hcmlvIFJvc3NpIiwiaWF0IjoxNTE2MjM5MDIyfQ.signature
Output Header: { "alg": "HS256", "typ": "JWT" } Payload: { "sub": "1234567890", "name": "Mario Rossi", "iat": 1516239022 }

Ispeziona header e payload del JWT senza verificare la firma.

Decodificare un token Bearer
Input Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature
Output Header: { "alg": "HS256", "typ": "JWT" } Payload: { "iss": "api.example.com", "aud": "my-app", "scope": "read:users", "exp": 1924992000 }

I prefissi Bearer sono comuni negli header Authorization e possono essere rimossi prima dell'ispezione del JWT.

Ispezionare il claim di scadenza
Input eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature
Output Header: { "alg": "RS256", "typ": "JWT" } Payload: { "sub": "user_42", "exp": 1924992000, "iat": 1717200000, "role": "admin" }

Claims JWT come exp e iat sono Unix timestamp e sono utili per il debug di token scaduti o non ancora validi.

Creare un payload JWT
Input {"sub":"user_42","role":"admin","exp":1924992000}
Output eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Codifica un payload JSON in un segmento payload JWT Base64URL. È utile per capire come vengono rappresentati i claims JWT prima della firma.

Come funziona il decoder JWT

Un JSON Web Token (JWT) di solito è composto da tre parti: Header, Payload e Signature. Queste parti sono separate da punti e codificate con Base64URL.

Questo decoder legge il token, decodifica header e payload e mostra i dati JSON in forma leggibile. Questo aiuta a ispezionare claims come issuer, subject, audience, ora di emissione, ora di scadenza, scopes, roles e campi personalizzati dell'applicazione.

Questo decoder non esegue la verifica della firma. La decodifica mostra cosa contiene il token, ma non dimostra che il token sia valido, attendibile o non modificato.

JWT, Base64URL e sicurezza

Le sezioni header e payload di un JWT sono codificate, non cifrate. Chiunque possieda il token può decodificare queste parti e leggerne il contenuto. Per questo motivo, i segreti sensibili non dovrebbero essere inseriti nel payload di un JWT, a meno che il token non venga cifrato con un meccanismo separato.

La sezione signature viene usata per rilevare manomissioni. Un server può verificare la firma con una chiave segreta o con una coppia di chiavi pubblica/privata, a seconda dell'algoritmo. Questo strumento è pensato per ispezione e debug, non per la validazione crittografica.

Casi comuni di debug con JWT

La decodifica JWT è usata spesso durante il debug di autenticazione, OAuth, OpenID Connect, autorizzazione API, access tokens, refresh tokens e token Bearer dagli header Authorization.

Gli sviluppatori ispezionano spesso i JWT per controllare timestamp di scadenza, issuer del token, audience, scopes, roles, permessi, identificatori utente e valori inattesi dei claims durante problemi di login o di integrazione API.

JWT Decode vs JWT Verify

Decodificare un JWT rende leggibili solo header e payload. Non verifica se il token è valido, scaduto, attendibile o firmato correttamente.

Verificare un JWT richiede il controllo di firma, algoritmo, issuer, audience, ora di scadenza e altre regole di validazione usate dalla tua applicazione. Questo decoder aiuta a ispezionare il contenuto del token, mentre la validazione completa deve essere eseguita dal tuo sistema di autenticazione.

FAQ

JWT (JSON Web Token) è un formato di token compatto e autonomo usato per l'autenticazione e lo scambio sicuro di dati. È molto usato in OAuth, OpenID Connect e come token Bearer negli header Authorization.

No. Questo strumento decodifica e ispeziona soltanto la struttura del token: header, payload e claims. La verifica della firma e la validazione del token non vengono eseguite.

Sì. La decodifica converte semplicemente dati Base64URL in JSON leggibile.

Sì. I token scaduti possono comunque essere decodificati e ispezionati; è utile per il debug auth e per analizzare problemi con access token.

No. Tutta la decodifica avviene localmente nel tuo browser. I tuoi token non lasciano mai il dispositivo.

I payload JWT sono codificati con Base64URL, non cifrati. Sono progettati per essere leggibili; la riservatezza è fornita dal trasporto (HTTPS), non dalla codifica.

La signature permette al server di verificare che il token non sia stato manomesso. Viene calcolata da header e payload usando una chiave segreta o una chiave privata (RS256, HS256, ecc.).

Di solito no. Un JWT standard è codificato e firmato, ma non cifrato. Header e payload possono essere decodificati da chiunque possieda il token.

Il claim exp memorizza l'ora di scadenza del token come Unix timestamp. Dopo quel momento, il token non dovrebbe più essere accettato dal server.

Un token Bearer è un token inviato in un header HTTP Authorization. Molti token Bearer sono JWT, ma il termine descrive come viene usato il token, non necessariamente il suo formato.

No. I payload JWT di solito sono leggibili dopo la decodifica. Non inserire password, chiavi API, token privati o altri segreti nel payload di un JWT normale.
Strumenti correlati

Convertitore ASCII

Converti caratteri ASCII e codici numerici per workflow con protocolli e parser.

Unicode Converter

Converti il testo in sequenze di escape Unicode e decodifica escape Unicode ed entità HTML nuovamente in testo leggibile.

Tutti gli strumenti Codifica e conversione dei dati →