Decodificatore JWT
Decodifica e ispeziona i JSON Web Token per visualizzare intestazione, payload e dichiarazioni.
Incolla un JWT per decodificarne il contenuto.
Decodificatore JWT — Decodifica e ispeziona JSON Web Token online gratuitamente
Il nostro decodificatore JWT gratuito online ti permette di incollare qualsiasi JSON Web Token e vedere immediatamente il suo header decodificato, payload e firma. Esamina i claim del token come emittente, soggetto, scadenza e pubblico senza scrivere alcun codice. Tutto funziona nel tuo browser — i tuoi token non vengono mai inviati a nessun server.
Cosa è un JSON Web Token (JWT)?
Un JSON Web Token (JWT) è uno standard aperto (RFC 7519) per trasmettere in modo sicuro informazioni tra parti come un oggetto JSON. I JWT vengono comunemente utilizzati per l'autenticazione e l'autorizzazione in applicazioni web. Quando ti loghi su un sito web, il server restituisce spesso un JWT che il tuo browser include in richieste successive per dimostrare la tua identità.
Un JWT è composto da tre parti separate da punti:
- Header — specifica il tipo di token e l'algoritmo di firma (es.
{"alg": "HS256", "typ": "JWT"}) - Payload — contiene i claim — dichiarazioni sull'entità (solitamente l'utente) e dati aggiuntivi (es.
{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}) - Signature — utilizzata per verificare che il token non sia stato modificato
Ogni parte è codificata in Base64Url, rendendo il token compatto e sicuro per URL. Ad esempio, un JWT tipico ha l'aspetto di eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.
Come utilizzare questo decodificatore JWT
- Incolla il tuo JWT nel campo di input. Il token deve essere una stringa di tre parti codificate in Base64Url separate da punti.
- Visualizza l'header decodificato — l'algoritmo, il tipo di token e altri metadati appaiono immediatamente.
- Visualizza il payload decodificato — tutti i claim vengono visualizzati in una tabella formattata, facile da leggere, con timestamp leggibili.
- Verifica lo stato del token — lo strumento verifica automaticamente se il token è scaduto in base al claim
exp. - Copia qualsiasi sezione — fai clic sul pulsante di copia accanto all'header o al payload per copiare il JSON decodificato.
Tutta la decodifica avviene localmente nel tuo browser utilizzando la funzione atob integrata di JavaScript. Nessun dato viene trasmesso su una rete.
Funzionalità principali
| Funzionalità | Vantaggio |
|---|---|
| Decodifica istantanea | Header e payload vengono decodificati mentre digiti |
| Output JSON formattato | JSON formattato con evidenziazione della sintassi |
| Conversione dei timestamp | I claim iat, exp e nbf vengono visualizzati come date leggibili |
| Verifica della scadenza | Rileva automaticamente e evidenzia i token scaduti |
| Descrizioni dei claim | Claim comuni come sub, iss e aud sono etichettati |
| Copia negli appunti | Copia il JSON decodificato dell'header o del payload con un clic |
| Zero trasferimento di dati | Tutta la decodifica avviene localmente nel tuo browser |
Riferimento ai claim JWT comuni
| Claim | Nome | Descrizione |
|---|---|---|
iss |
Emittente | Identifica il principale che ha emesso il token |
sub |
Soggetto | Identifica il principale che è l'oggetto del token |
aud |
Pubblico | Identifica i destinatari per cui il token è destinato |
exp |
Tempo di scadenza | Data e ora dopo cui il token non è più valido |
nbf |
Non prima di | Data e ora prima della quale il token non è valido |
iat |
Emesso a | Data e ora in cui il token è stato emesso |
jti |
ID JWT | Identificatore unico per il token |
name |
Nome | Nome completo dell'utente |
email |
Indirizzo email dell'utente | |
role |
Ruolo | Ruolo o livello di autorizzazione dell'utente |
scope |
Ambito | Autorizzazioni o ambiti concessi |
Per codificare dati da includere in URL, prova il nostro Codificatore/Decodificatore URL. Per la codifica Base64, utilizza il Codificatore/Decodificatore Base64.
Caso d'uso reale
Debugging dei problemi di autenticazione
Quando un utente segnala che non può accedere a una risorsa protetta, il primo passo è ispezionare il suo JWT. Decodifica il token per verificare se è scaduto, se il claim sub corrisponde all'ID utente previsto o se il claim role include le autorizzazioni necessarie.
Verifica del contenuto del token durante lo sviluppo
Quando si costruisce o si testa un'API, è necessario verificare spesso che il server emetta token con i claim corretti. Incolla il token nel decodificatore per verificare rapidamente il payload senza scrivere uno script di test.
Ispezione di token di terze parti
Durante l'integrazione con provider OAuth come Google, GitHub o Auth0, ricevi JWT da loro flussi di autenticazione. Decodificare questi token ti aiuta a comprendere quali claim sono disponibili e a che scopo.
Verifica del contenuto del token durante lo sviluppo
Quando si costruisce o si testa un'API, è necessario verificare spesso che il server emetta token con i claim corretti. Incolla il token nel decodificatore per verificare rapidamente il payload senza scrivere uno script di test.
Verifica del contenuto del token durante lo sviluppo
Quando si costruisce o si testa un'API, è necessario verificare spesso che il server emetta token con i claim corretti. Incolla il token nel decodificatore per verificare rapidamente il payload senza scrivere uno script di test.
Consigli per l'utilizzo dei JWT
- Non utilizzare mai JWT come mezzo di autenticazione in ambienti non sicuri. I JWT devono sempre essere trasmessi tramite canali sicuri, ad esempio HTTPS.
- Utilizza un algoritmo forte per la firma. Gli algoritmi come
HS256oRS256sono raccomandati per garantire la sicurezza del token. - Imposta un tempo di scadenza ragionevole. I token non devono rimanere validi indefinitamente, per prevenire l'abuso.
- Evita di includere informazioni sensibili nel payload. I JWT non devono contenere dati come password o informazioni personali.
- Utilizza un meccanismo di refresh token per i token a breve termine. Questo permette di rinnovare i token senza richiedere nuovamente l'autenticazione all'utente.
Domande frequenti
Questo decodificatore JWT è gratuito da utilizzare?
Sì, il decodificatore JWT è gratuito da utilizzare. Non è necessario creare un account per accedervi.
I miei token vengono mai trasmessi a un server esterno?
No, il decodificatore JWT funziona interamente nel tuo browser. I token non vengono mai trasmessi a un server esterno.
Posso utilizzare questo strumento per verificare i token emessi da terze parti?
Sì, puoi utilizzare il decodificatore JWT per verificare i token emessi da terze parti. Tuttavia, tieni presente che non puoi verificare la firma del token senza conoscere la chiave segreta o pubblica utilizzata per la firma.
Come posso verificare la firma di un token JWT?
Per verificare la firma di un token JWT, devi conoscere la chiave segreta o pubblica utilizzata per la firma. Utilizza uno strumento appropriato o una libreria di codifica che supporti la verifica della firma.
C'è un limite al numero di token che posso decodificare con questo strumento?
Non c'è un limite al numero di token che puoi decodificare con questo strumento. Tuttavia, non è consigliabile decodificare un numero eccessivo di token contemporaneamente, per evitare problemi di prestazioni.