Decodificatore JWT - Decodifica e verifica JWT nel tuo browser

// decodifica JWT senza inviare dati a un server

Solo lato client — i tuoi dati non lasciano mai il browser
Input Token
Rilascia file JWT o testo qui

Come Decodificare Token JWT

1

Incolla il Tuo Token JWT

Copia il tuo JSON Web Token e incollalo nel campo di input. Il decodificatore JWT analizza e decodifica automaticamente il token codificato Base64URL istantaneamente.

2

Visualizza Claims Decodificati

Ispeziona l'intestazione e il payload JWT decodificati. Visualizza claim come iss, sub, exp e iat in formato JSON o tabella con timestamp leggibili.

3

Verifica Firma JWT

Inserisci la tua chiave segreta o pubblica per verificare la firma del token. Supporta algoritmi HS256, HS384, HS512 (HMAC) per la validazione della firma.

Cos'è un JSON Web Token (JWT)?

intestazione . payload . firma

Un JSON Web Token (JWT) è uno standard aperto (RFC 7519) per trasmettere informazioni in modo sicuro tra le parti come oggetto JSON compatto e sicuro per URL. I JWT sono comunemente usati per autenticazione, autorizzazione e scambio di informazioni nelle applicazioni web moderne, API e sistemi single sign-on (SSO).

intestazione

Contiene il tipo di token e l'algoritmo di firma (es. HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

payload

Contiene claim: registrati (iss, exp, sub), pubblici e privati.

{"sub": "user123", "exp": 1699999999}

firma

Firma crittografica che verifica che il token non sia stato manomesso.

HMACSHA256(base64(header).base64(payload), secret)

Casi d'Uso Comuni JWT

Autenticazione API

I JWT sono lo standard per proteggere le REST API. Dopo il login, il server emette un JWT che il client include nell'header Authorization: Bearer per le richieste successive.

Single Sign-On (SSO)

I JWT consentono l'autenticazione senza interruzioni su più applicazioni. Un solo login genera un token che funziona su tutti i servizi connessi della tua organizzazione.

Scambio di Informazioni

Trasmetti dati in modo sicuro tra le parti. La firma garantisce l'identità del mittente e che il messaggio non sia stato alterato durante il transito.

Autenticazione App Mobile

Autenticazione stateless ideale per app mobile. Nessuna sessione lato server necessaria—il JWT contiene tutte le informazioni utente necessarie.

Domande Frequenti

Questo decodificatore JWT è sicuro per i token di produzione?

Sì, questo decodificatore JWT è completamente sicuro. Tutta la decodifica e verifica avviene interamente nel tuo browser usando JavaScript. I tuoi token e chiavi segrete non vengono mai inviati a nessun server. Puoi verificarlo controllando le richieste di rete negli strumenti per sviluppatori del browser—nessun dato lascia il tuo dispositivo.

Qual è la differenza tra decodificare e verificare un JWT?

Decodificare converte semplicemente l'intestazione e il payload codificati Base64URL in JSON leggibile. Chiunque può decodificare un JWT senza chiave. Verificare controlla la firma crittografica per assicurarsi che il token non sia stato manomesso e sia stato emesso da una fonte attendibile. La verifica richiede la chiave segreta (per HMAC) o la chiave pubblica (per RSA/ECDSA).

Quali algoritmi di firma JWT sono supportati?

Questo strumento può decodificare JWT firmati con qualsiasi algoritmo. Per la verifica della firma, attualmente supportiamo algoritmi HMAC (HS256, HS384, HS512) usando la Web Crypto API. Il supporto per la verifica RSA (RS256, RS384, RS512) ed ECDSA (ES256, ES384, ES512) è pianificato.

Perché la verifica della firma JWT fallisce?

Le ragioni comuni includono: 1) Chiave segreta sbagliata—assicurati di usare esattamente la stessa chiave che ha firmato il token. 2) Formato sbagliato—prova a cambiare tra UTF-8 e Base64 se il tuo segreto è codificato Base64. 3) Mancata corrispondenza algoritmo—verifica che il claim alg nell'intestazione corrisponda al tuo metodo di verifica. 4) Token modificato—qualsiasi modifica all'intestazione o al payload invalida la firma.

Cosa significano i claim JWT standard?

Claim registrati definiti in RFC 7519:

  • iss (emittente) – Chi ha emesso il token
  • sub (soggetto) – L'utente o l'entità che il token rappresenta
  • aud (destinatario) – Destinatario previsto del token
  • exp (scadenza) – Timestamp Unix della scadenza del token
  • nbf (non prima) – Il token non è valido prima di questo momento
  • iat (emesso il) – Quando il token è stato creato
  • jti (ID JWT) – Identificatore univoco per il token