La decodifica verifica la firma?

No. I JWT sono firmati, non cifrati. Questo strumento decodifica header e payload (che sono Base64 semplice) senza bisogno della chiave segreta. Per verificare la firma serve la chiave usata dall'emittente, e quella chiave non fa parte del token. La decodifica serve per ispezionare il contenuto, non per validare l'autenticità.

Posso leggere claim sensibili in un JWT?

Sì, ed è importante saperlo: il payload di un JWT è in testo semplice (Base64), non cifrato. Chiunque abbia accesso al token può leggere tutto ciò che contiene. Non mettere password, numeri di carta o dati personali sensibili in un JWT, anche se firmato.

Quali claim sono standard?

iss (issuer, chi ha emesso), sub (subject, a chi si riferisce), aud (audience, per chi è), exp (expiration, quando scade), nbf (not before, prima di questo momento non è valido), iat (issued at, quando è stato emesso), jti (identificatore univoco del token). Altre claim possono essere specifiche dell'applicazione.

Decodificatore JWT Gratis Online. Decodifica e Ispeziona Token

Token JWT

Incolla un token per vedere le parti decodificate.

Informazioni su questo strumento

Decodifica un JSON Web Token e mostra l'header, il payload, le claim e lo stato di validità. Utile per il debug dell'autenticazione, capire quali dati un'applicazione passa in un token, verificare se un token è scaduto, o semplicemente vedere cosa c'è dentro quella lunga stringa apparsa nei tuoi cookie.

Come si usa

Incolla il JWT nel campo di input.
Vedi l'header con algoritmo e tipo, e il payload con le claim.
Controlla lo stato: se il token è scaduto, non ancora valido, o nel periodo di validità.
Ispeziona claim standard (iss, sub, exp, iat) e personalizzate.

Domande frequenti

La decodifica verifica la firma?: No. I JWT sono firmati, non cifrati. Questo strumento decodifica header e payload (che sono Base64 semplice) senza bisogno della chiave segreta. Per verificare la firma serve la chiave usata dall'emittente, e quella chiave non fa parte del token. La decodifica serve per ispezionare il contenuto, non per validare l'autenticità.
Posso leggere claim sensibili in un JWT?: Sì, ed è importante saperlo: il payload di un JWT è in testo semplice (Base64), non cifrato. Chiunque abbia accesso al token può leggere tutto ciò che contiene. Non mettere password, numeri di carta o dati personali sensibili in un JWT, anche se firmato.
Quali claim sono standard?: iss (issuer, chi ha emesso), sub (subject, a chi si riferisce), aud (audience, per chi è), exp (expiration, quando scade), nbf (not before, prima di questo momento non è valido), iat (issued at, quando è stato emesso), jti (identificatore univoco del token). Altre claim possono essere specifiche dell'applicazione.

Strumenti correlati

Sviluppatore/Formattatore JSON Sviluppatore/Generatore di UUID Sviluppatore/Qual è il Mio IP Sviluppatore/Testo in Slug Sviluppatore/Generatore Lorem Ipsum Sviluppatore/Codificatore / Decodificatore Base64 Sviluppatore/Tester Regex Sviluppatore/Visualizzatore JSON Sviluppatore/Stimatore di Token Sviluppatore/Visualizzatore XML Sviluppatore/Generatore di Blocchi di Commenti Sviluppatore/Convertitore di Timestamp Unix Sviluppatore/Convertitore JSON, YAML, CSV Sviluppatore/Visualizzatore e Editor CSV Sviluppatore/Visualizzatore ed Editor YAML Sviluppatore/Visualizzatore di Algoritmi di Ordinamento