Monu Tools

Decoder JWT

Decodifica un JSON Web Token per ispezionarne l'header e il payload, con orari di scadenza ed emissione leggibili. Funziona interamente nel tuo browser; i token non vengono mai caricati.

Come usare Decoder JWT

  1. 01

    Incolla un JWT nel formato header.payload.firma.

  2. 02

    Leggi l'header e il payload decodificati come JSON formattato.

  3. 03

    Controlla i tempi di scadenza ed emissione, e se il token è scaduto.

Cosa ti mostra un decoder JWT

Un JSON Web Token ha tre parti separate da punti: un header codificato in Base64URL, un payload codificato in Base64URL e una firma. Questo decoder divide e decodifica le prime due parti istantaneamente nel tuo browser, così puoi leggere cosa contiene davvero un token.

L'uso più comune è ispezionare un token restituito da un'API: chi lo ha emesso (iss), quando scade (exp), quali permessi porta con sé (scope o roles) e se è già scaduto.

Come funziona la decodifica

Lo strumento prende i segmenti dell'header e del payload e decodifica il loro contenuto Base64URL riportandolo a un JSON leggibile. Nulla viene inviato da nessuna parte: la divisione e la decodifica avvengono localmente nel momento in cui incolli un token.

Leggere scadenza e timestamp

La scadenza è mostrata in ora locale leggibile, non come timestamp Unix grezzo, così puoi vedere a colpo d'occhio se il token è ancora valido. Lo stesso vale per altri claim temporali come iat e nbf, che diventano date che puoi davvero interpretare.

Decodificare non è verificare

Questo strumento decodifica e mostra, non verifica la firma rispetto a una chiave segreta. Chiunque può leggere il payload di un JWT senza una chiave, perché è protetta solo la firma, non il contenuto.

Per la verifica della firma ti serve il segreto di firma o la chiave pubblica, che non dovrebbero mai essere inseriti in uno strumento basato su browser. Non incollare segreti qui.

Privacy

Il token non lascia mai il tuo dispositivo. Tutta la decodifica avviene nel tuo browser, quindi nulla di ciò che incolli viene caricato o memorizzato.

Domande frequenti

Verifica la firma?

No. Decodifica e mostra l'header e il payload. La verifica della firma richiede il segreto di firma o la chiave pubblica, che non dovresti incollare in nessuno strumento web.

Qual è la differenza tra decodifica e verifica?

La decodifica legge l'header e il payload Base64url, che non sono criptati. La verifica ricalcola la firma con la chiave per dimostrare che il token è autentico e non modificato.

È sicuro incollare il mio token qui?

La decodifica avviene interamente nel tuo browser, quindi il token non viene caricato. Tratta comunque i token live come segreti ed evita di incollarli su computer condivisi.

Cosa significano exp, iat e nbf?

Sono claim standard: iat indica il momento di emissione, nbf il momento prima del quale non è valido, ed exp la scadenza. Il decoder converte questi timestamp Unix in ora locale leggibile.

Posso decodificare un token scaduto?

Sì. La scadenza non cambia il modo in cui un token viene decodificato, quindi puoi ispezionare i claim di un token scaduto e vedere esattamente quando è scaduto.

Perché il mio payload è leggibile senza una chiave?

Un JWT è firmato, non criptato. Il payload è solo codificato in Base64url, quindi chiunque può leggerlo. Non mettere mai segreti nel payload di un JWT.

Fonti

Incorpora questo strumento

Aggiungi questo strumento al tuo sito web. Copia lo snippet qui sotto; si aggiorna automaticamente.

<iframe src="https://monu.tools/embed/it/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Strumenti correlati