Decodificatore JWT - Decodifica i JSON Web Token e verifica la scadenza online
Incolla qualsiasi JSON Web Token per decodificarne istantaneamente l'header e il payload, visualizzare la firma e verificare se è scaduto. Funziona in locale — i tuoi token non lasciano mai il browser.
Decode and verify entirely in your browser — nothing is uploaded.
Hai finito con Decodificatore JWT? Prova anche questi
Strumenti selezionati che si abbinano bene con Decodificatore JWT. Continua senza perdere il tuo file.
Encoder / Decoder Base64
Codifica qualsiasi testo o file in Base64 (con variante URL-safe) o decodifica il Base64 in testo. Compatibile con UTF-8.
Provalo oraGeneratore di Hash
Calcola i digest esadecimali SHA-1, SHA-256, SHA-384 e SHA-512 di qualsiasi testo o file usando la Web Crypto API del browser.
Provalo oraAbbellisci JSON
Formatta, valida e minimizza il JSON nel tuo browser. Rientro elegante a 2 / 4 / 8 spazi o minificazione su una riga con copia + download.
Provalo oraCodificatore / decodificatore URL
Codifica in percent-encoding i componenti di un URL o interi URL e decodificali di nuovo. Modalità encodeURIComponent ed encodeURI.
Provalo oraGeneratore di password
Genera password robuste e crittograficamente casuali fino a 128 caratteri con stima dell'entropia in tempo reale.
Provalo oraConfronto testi
Confronta due frammenti di testo riga per riga. Vista affiancata o unificata, con opzioni per ignorare gli spazi e le maiuscole/minuscole.
Provalo oraFrequently Asked Questions
Incolla il JWT codificato (la lunga stringa eyJ…) nella casella di input. Lo strumento lo divide in corrispondenza dei due punti, decodifica in Base64URL l'header e il payload e ne mostra il JSON insieme al segmento grezzo della firma — il tutto senza effettuare alcuna richiesta di rete.
usageNo. Il decoder si limita ad analizzare il token: non verifica la firma rispetto a una chiave segreta o pubblica, perché la verifica richiede il materiale chiave dell'emittente. Per la verifica in produzione usa una libreria JWT lato server; questo strumento serve per l'ispezione e il debug.
technicalOttieni l'header (algoritmo e id della chiave), i claim del payload (sub, iss, aud, iat, exp ed eventuali claim personalizzati) e la firma grezza. I claim timestamp standard vengono formattati come date leggibili dall'utente così puoi individuare a colpo d'occhio i token scaduti.
featuresSe il payload contiene il claim standard "exp", lo strumento lo confronta con l'ora attuale e mostra "Valido fino al" oppure "Token scaduto il" con il timestamp esatto. I token senza claim exp vengono segnalati come privi di scadenza.
featuresChiunque legga il payload di un JWT può usarlo finché non scade, quindi i token di produzione vanno gestiti in strumenti privati. Questo decoder funziona interamente nel tuo browser e non trasmette mai il token, ma la regola più sicura è decodificare token di sviluppo a breve durata ogni volta che è possibile.
privacyUn JWT ha tre segmenti codificati in Base64URL separati da punti: header (algoritmo di firma), payload (i claim che l'emittente vuole far considerare attendibili al verificatore) e signature (un MAC o una firma digitale su header.payload). La decodifica non richiede mai una chiave — la richiede solo la verifica.
technicalUn token compatto e sicuro per gli URL composto da tre segmenti Base64URL — header, payload e firma — che trasporta dati firmati come un ID utente e una scadenza. È ampiamente usato per sessioni di login stateless e per proteggere le richieste API. Incollane uno qui sopra per ispezionarne header e payload.
technicalSotto l'header e il payload decodificati, incolla il segreto di firma (per HS256) o la chiave pubblica dell'emittente in formato PEM o JWK (per RS256, ES256 e simili) nella casella Verifica firma, poi clicca Verifica. Il badge che compare indica se la firma è valida, non valida o usa un algoritmo che il verificatore lato browser non supporta — tutto calcolato localmente, senza inviare il token o la chiave da nessuna parte.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClicca Try sample JWT per caricare un token dimostrativo HS256 con i claim sub, name, iat ed exp, così puoi vedere come funzionano la decodifica e il controllo di scadenza prima di incollare il tuo token. Una volta inserito un token nella casella, accanto compare un pulsante Clear che svuota l'input con un solo clic.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
Debug dei flussi OAuth e OpenID Connect
Decodifica gli access token e gli ID token restituiti da Auth0, Okta, Cognito e Azure AD per verificare scope, audience e issuer durante il lavoro di integrazione OAuth in locale
Ispeziona gli header di autorizzazione nelle chiamate API
Incolla il bearer token di una richiesta API che fallisce per verificare se il problema è dovuto a tenant, ruolo o scadenza errati prima di aprire un ticket con il team di backend
Verifica la scadenza del token durante lo sviluppo
Individua i token scaduti che bloccano silenziosamente il tuo ambiente di staging leggendo il claim exp, senza dover copiare il token in un terminale o scrivere un rapido script
Verifica i permessi codificati nei claim del token
Verifica i claim personalizzati come ruoli, tenant e feature flag, così gli amministratori possono confermare che il token di un cliente conceda esattamente l'accesso previsto dal team di licenze
Convalida le integrazioni Single Sign-On
Ispeziona i token SAML e OIDC generati dalle integrazioni SSO aziendali per confermare le appartenenze ai gruppi e le mappature degli attributi prima del rilascio a tutti i dipendenti
Insegna l'autenticazione basata su token
Usa i pannelli decodificati di intestazione, payload e firma per spiegare come sono strutturati i JWT a studenti di bootcamp, ingegneri junior e partecipanti a workshop sulla sicurezza
Verifica la Configurazione di Firma Webhook di un Partner
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate