JWT Decoder

Incolla un JWT e visualizza istantaneamente header, payload e firma.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
Cos'è un JWT?

                
JSON Web Token (JWT, RFC 7519) è uno standard aperto per trasmettere claim tra due parti in modo sicuro e compatto. I JWT sono utilizzati nelle moderne API web per autenticazione e autorizzazione — ad esempio dopo il login per identificare l'utente in ogni richiesta successiva.

                
Importante: Un JWT non è cifrato, è solo firmato. Chiunque possieda il token può leggerne il contenuto. Non memorizzare password o dati sensibili nel payload.


                
Struttura di un JWT

                
    
                    
  • Header — descrive il tipo di token (typ) e l'algoritmo di firma (alg), ad es. HS256, RS256.
    • 
                    
  • Payload — contiene i claim (dati) come JSON, codificati in base64url. Sono ammessi sia claim standard che personalizzati.
    • 
                    
  • Firma — firma crittografica su header + payload, generata con l'algoritmo indicato in alg.
    • 
                


                
Claim standard (RFC 7519)

                
    
                    
  • iss — Issuer (emittente del token)
    • 
                    
  • sub — Subject (di solito l'ID utente)
    • 
                    
  • aud — Audience (destinatario previsto del token)
    • 
                    
  • exp — Expiration Time (scadenza come timestamp Unix)
    • 
                    
  • iat — Issued At (data di emissione del token)
    • 
                    
  • nbf — Not Before (non valido prima di questo momento)
    • 
                


                
Questo strumento è sicuro?

                
Sì. La decodifica avviene interamente nel tuo browser con JavaScript. Nessun token viene inviato a un server e nulla viene registrato. Puoi ispezionare l'implementazione in qualsiasi momento negli strumenti per sviluppatori del browser. Tuttavia, incolla i token di produzione solo in ambienti affidabili.