RUNWEBTOOLS
Italiano

Decodificatore JWT

Decodifica e ispeziona i JSON Web Token.

In tempo reale — decodifica mentre digiti

Usa su qualsiasi pagina (bookmarklet)

Vuoi usare Decodificatore JWT senza lasciare la pagina in cui ti trovi? Trascina il pulsante qui sotto nella barra dei preferiti, poi cliccalo su qualsiasi sito per aprire Decodificatore JWT direttamente lì — funziona interamente nel tuo browser.

Decodificatore JWT← trascina questo pulsante nella barra dei preferiti

Usalo responsabilmente: Un bookmarklet viene eseguito sulla pagina in cui lo clicchi. Evita siti sensibili come banche online, pagamenti o sanità — lo usi a tuo rischio. Tutto è elaborato localmente e nessun dato viene inviato. Consulta i nostri Termini.

  1. Mostra la barra dei preferiti se è nascosta — Ctrl+Shift+B (+Shift+B su Mac).
  2. Trascina il pulsante qui sopra sulla barra dei preferiti.
  3. Apri qualsiasi sito e clicca il preferito — il pannello di Decodificatore JWT appare in alto a destra. Usa ✛ per cambiare angolo e ›/‹ per ripiegarlo sul bordo e riestrarlo.
  4. Clicca di nuovo il preferito (o ✕) per chiuderlo.
Non riesci a trascinarlo? Copialo e crea un nuovo preferito con questo come URL:

Nota: alcuni siti con politiche di sicurezza rigide possono bloccare i bookmarklet.

Esempi

Decodificare header e payload

Input

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc

Output

Header:  { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }

Ispezionare l'algoritmo e il ruolo

Input

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig

Output

Header:  { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }

Informazioni su questo strumento

Questo decodificatore JWT online e gratuito legge un JSON Web Token e mostra il suo header e il suo payload come JSON formattato, direttamente nel tuo browser. Incolla un token e viene decodificato in tempo reale. Tutto funziona in locale senza upload — il tuo token non lascia mai il tuo dispositivo.

Come si usa

  1. Incolla il tuo JWT nell'input (o clicca Esempio).
  2. Leggi l'header e il payload decodificati e copia uno dei due.
  3. Controlla i claim temporali per vedere quando il token è stato emesso o scade.

Solo decodifica — non verifica

Il payload di un JWT è codificato in base64url, non cifrato, quindi chiunque può leggerlo. Questo strumento lo decodifica per l'ispezione ma non verifica la firma (che richiede la chiave di firma). Per le decisioni di sicurezza, verifica sempre i token sul tuo server.

Domande frequenti

Questo decodificatore JWT è gratuito?

Sì — è un decodificatore JWT online completamente gratuito, senza registrazione.

Il mio token viene inviato a un server?

No. Il token viene decodificato interamente nel tuo browser senza upload, quindi non lascia mai il tuo dispositivo — importante, poiché i token sono credenziali sensibili.

Verifica la firma?

No. Questo è un decodificatore/ispettore — legge l'header e il payload, ma non verifica la firma, che richiede il segreto o la chiave pubblica. Non fidarti mai di un token non verificato su un server.

Cosa c'è dentro un JWT?

Tre parti base64url separate da punti: un header (algoritmo e tipo), un payload (claim come sub, iat, exp) e una firma. Questo strumento decodifica l'header e il payload.

Il payload è cifrato?

No. Il payload di un JWT standard è solo codificato in base64url, non cifrato — chiunque può leggerlo. Non inserire mai segreti nel payload di un JWT.

Cosa significano iat ed exp?

Sono timestamp Unix: iat è quando il token è stato emesso ed exp quando scade. Lo strumento li mostra come date leggibili e segnala se il token è scaduto.

Posso decodificare un token selezionato in un'altra pagina?

Sì — aggiungi il bookmarklet, seleziona un token in qualsiasi pagina e cliccalo per decodificare la selezione sul posto.

Strumenti correlati