Decodificatore JWT
Decodifica e ispeziona i JSON Web Token.
Usa su qualsiasi pagina (bookmarklet)
Vuoi usare Decodificatore JWT senza lasciare la pagina in cui ti trovi? Trascina il pulsante qui sotto nella barra dei preferiti, poi cliccalo su qualsiasi sito per aprire Decodificatore JWT direttamente lì — funziona interamente nel tuo browser.
Usalo responsabilmente: Un bookmarklet viene eseguito sulla pagina in cui lo clicchi. Evita siti sensibili come banche online, pagamenti o sanità — lo usi a tuo rischio. Tutto è elaborato localmente e nessun dato viene inviato. Consulta i nostri Termini.
- Mostra la barra dei preferiti se è nascosta — Ctrl+Shift+B (⌘+Shift+B su Mac).
- Trascina il pulsante qui sopra sulla barra dei preferiti.
- Apri qualsiasi sito e clicca il preferito — il pannello di Decodificatore JWT appare in alto a destra. Usa ✛ per cambiare angolo e ›/‹ per ripiegarlo sul bordo e riestrarlo.
- Clicca di nuovo il preferito (o ✕) per chiuderlo.
Nota: alcuni siti con politiche di sicurezza rigide possono bloccare i bookmarklet.
Esempi
Decodificare header e payload
Input
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc
Output
Header: { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }Ispezionare l'algoritmo e il ruolo
Input
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig
Output
Header: { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }Informazioni su questo strumento
Questo decodificatore JWT online e gratuito legge un JSON Web Token e mostra il suo header e il suo payload come JSON formattato, direttamente nel tuo browser. Incolla un token e viene decodificato in tempo reale. Tutto funziona in locale senza upload — il tuo token non lascia mai il tuo dispositivo.
Come si usa
- Incolla il tuo JWT nell'input (o clicca Esempio).
- Leggi l'header e il payload decodificati e copia uno dei due.
- Controlla i claim temporali per vedere quando il token è stato emesso o scade.
Solo decodifica — non verifica
Il payload di un JWT è codificato in base64url, non cifrato, quindi chiunque può leggerlo. Questo strumento lo decodifica per l'ispezione ma non verifica la firma (che richiede la chiave di firma). Per le decisioni di sicurezza, verifica sempre i token sul tuo server.
Domande frequenti
Questo decodificatore JWT è gratuito?
Sì — è un decodificatore JWT online completamente gratuito, senza registrazione.
Il mio token viene inviato a un server?
No. Il token viene decodificato interamente nel tuo browser senza upload, quindi non lascia mai il tuo dispositivo — importante, poiché i token sono credenziali sensibili.
Verifica la firma?
No. Questo è un decodificatore/ispettore — legge l'header e il payload, ma non verifica la firma, che richiede il segreto o la chiave pubblica. Non fidarti mai di un token non verificato su un server.
Cosa c'è dentro un JWT?
Tre parti base64url separate da punti: un header (algoritmo e tipo), un payload (claim come sub, iat, exp) e una firma. Questo strumento decodifica l'header e il payload.
Il payload è cifrato?
No. Il payload di un JWT standard è solo codificato in base64url, non cifrato — chiunque può leggerlo. Non inserire mai segreti nel payload di un JWT.
Cosa significano iat ed exp?
Sono timestamp Unix: iat è quando il token è stato emesso ed exp quando scade. Lo strumento li mostra come date leggibili e segnala se il token è scaduto.
Posso decodificare un token selezionato in un'altra pagina?
Sì — aggiungi il bookmarklet, seleziona un token in qualsiasi pagina e cliccalo per decodificare la selezione sul posto.
Strumenti correlati
Generatore di hash
Genera hash MD5, SHA-1, SHA-256 e SHA-512 dal testo nel tuo browser.
Codificatore / Decodificatore Base64
Codifica il testo in Base64 o decodifica Base64 in testo.
Codificatore / Decodificatore URL
Codifica o decodifica URL e query string in percentuale.
Codifica / Decodifica HTML
Codifica o decodifica le entità HTML.