Decoder JWT — Decodifica JSON Web Tokens online
Decodifica i token JWT istantaneamente nel browser — nessun upload, nessun server, completamente privato.
Input
Output
Cos'è un decoder JWT?
Hai mai visto in una risposta API una stringa lunga come `eyJhbGciOi...` e ti sei chiesto cosa contenesse? È un JWT — un JSON Web Token — e questo strumento lo apre in pochi secondi. Secondo RFC 7519, i JWT sono token compatti e URL-safe usati per autenticazione e scambio dati. L'introduzione di JWT.io spiega la struttura: tre parti codificate in Base64URL — header, payload e firma — separate da punti. La documentazione MDN di atob() spiega il funzionamento della decodifica Base64. Per i token OAuth2 o OIDC, la specifica OpenID Connect definisce i claims standard. Tutto funziona nel browser — il tuo token non lascia mai la tua macchina.
Un JWT è composto da tre parti codificate in Base64URL: l'header, il payload e la firma.
Come usare il decoder JWT
Incolla il tuo token JWT
Copia un token JWT e incollalo nell'editor di input.
Ispeziona l'output decodificato
Lo strumento decodifica automaticamente header e payload come JSON formattato.
Copia o scarica il risultato
Usa il pulsante Copia o Scarica per salvare il JSON decodificato.
Esempio di decodifica JWT
Ecco un esempio di token JWT e del suo contenuto decodificato:
Token JWT (Input)
Domande frequenti
È sicuro incollare il mio token JWT qui?
Sì, completamente. Tutta la decodifica avviene nel tuo browser — il tuo token JWT non viene mai inviato a nessun server. Puoi usare questo strumento in sicurezza anche con dati di produzione sensibili.
Cosa mostra la sezione firma?
La firma viene visualizzata come stringa codificata in Base64URL. La verifica richiede la chiave segreta o pubblica e non viene eseguita qui — si decodifica solo il contenuto di header e payload.
Posso decodificare token JWT scaduti?
Sì. Questo strumento decodifica solo la struttura del token — non convalida la scadenza (exp), l'emittente (iss), il pubblico (aud) né altre dichiarazioni. I token scaduti si decodificano senza problemi.
Quali algoritmi JWT sono supportati?
Tutti gli algoritmi JWT funzionano qui — HS256, RS256, ES256, PS256 e altri — perché il decoder esegue solo la decodifica Base64URL di header e payload senza verificare la firma.
Come è strutturato un JWT?
Un JWT ha tre parti separate da punti: l'header (algoritmo e tipo), il payload (claims come sub, exp, iat) e la firma. Ogni parte è codificata in Base64URL. Una panoramica dettagliata è disponibile su Wikipedia: JSON Web Token.