Decodificatore JWT
Incolla un JSON Web Token per vedere cosa contiene realmente — l'header e il payload, decodificati e formattati in modo leggibile.
Cosa ti dice (e cosa non ti dice) decodificare un JWT
L'header e il payload di un JWT sono solo JSON codificato in Base64URL — chiunque può decodificarli e leggerli, senza bisogno di alcun segreto, ed è esattamente ciò che fa questo strumento. Ciò che non può fare è verificare la firma: serve il segreto o la chiave pubblica dell'emittente, deliberatamente qualcosa che non incolleresti in un sito web qualsiasi.
Questo verifica che il token sia valido o non scaduto?
No: decodifica solo le parti leggibili. La verifica della firma e il controllo della scadenza ("exp") avvengono sul server che ha emesso il token, usando un segreto che questo strumento non vede mai.
Un JWT è pensato per essere leggibile in questo modo?
Sì: l'header e il payload sono solo codificati, non criptati. Non inserire mai segreti o dati sensibili direttamente nel payload di un JWT; è a questo che serve la firma (dimostrare che non è stato manomesso), non a nascondere il suo contenuto.
Il mio token viene inviato da qualche parte?
No: la decodifica avviene interamente nel tuo browser con JavaScript puro. Nulla viene caricato.
