JWT Decoder
Decodifica e ispeziona i token JWT nel browser. Verifica opzionale della firma HS256. Nessun dato inviato a un server.
Incolla un token per decodificarlo.
Cos'è un JWT e come funziona
Un JWT (JSON Web Token, standard RFC 7519) è un formato compatto per trasmettere informazioni fra due parti in modo verificabile. È la base dell'autenticazione di gran parte delle API moderne: dopo il login il server emette un token che il client invia a ogni richiesta successiva per dimostrare la propria identità. Un JWT è composto da tre parti separate da un punto — header, payload e firma — ciascuna codificata in Base64URL, il che lo rende un'unica stringa trasportabile facilmente in un header HTTP.
L'header descrive il tipo di token e l'algoritmo di firma (per esempio HS256 o RS256). Il payload contiene i "claim", cioè le affermazioni sull'utente e sul token: claim registrati dallo standard come sub (il soggetto), iat (data di emissione), exp (scadenza) e nbf (non valido prima di), più eventuali claim personalizzati dell'applicazione. Questo strumento decodifica header e payload in tempo reale mentre digiti e ti mostra le date in formato leggibile, segnalando se il token è scaduto.
È fondamentale capire che decodificare un JWT non significa verificarlo: header e payload sono solo codificati in Base64URL, non cifrati, quindi chiunque possieda il token può leggerne il contenuto. La firma è ciò che garantisce che il token non sia stato alterato e che provenga da chi dice di essere. Con un token HS256 puoi verificare la firma qui inserendo il segreto condiviso: il calcolo HMAC-SHA256 avviene interamente nel tuo browser tramite l'API Web Crypto, quindi né il token né il segreto lasciano mai il tuo dispositivo. Per questo non incollare mai un token di produzione su strumenti online di cui non ti fidi.
Domande frequenti
- Decodificare un JWT significa verificarlo?
- No. Header e payload sono solo codificati in Base64URL, non cifrati: chiunque abbia il token può leggerne il contenuto. Solo la verifica della firma — con il segreto (HS256) o la chiave pubblica (RS256) — garantisce che il token sia autentico e non alterato.
- Il token o il segreto vengono inviati a un server?
- No. La decodifica e la verifica HMAC-SHA256 avvengono interamente nel tuo browser tramite le API native atob e Web Crypto. Né il token né il segreto lasciano mai il tuo dispositivo.
- Perché posso verificare solo i token HS256?
- HS256 usa un segreto condiviso simmetrico, facile da inserire e verificare nel browser. RS256 e gli altri algoritmi a chiave asimmetrica richiedono di importare una chiave pubblica in formato PEM: per ora lo strumento decodifica qualsiasi token ma verifica solo le firme HS256.
- Cosa significano i claim iat, exp e nbf?
- Sono date in formato Unix (NumericDate): iat è il momento di emissione, exp la scadenza oltre la quale il token non è più valido, e nbf il momento prima del quale non deve essere accettato. Lo strumento le converte in date leggibili e segnala se il token è scaduto.