Decodificatore JWT - Decodifica i JSON Web Token e verifica la scadenza online

Incolla qualsiasi JSON Web Token per decodificarne istantaneamente l'header e il payload, visualizzare la firma e verificare se è scaduto. Funziona in locale — i tuoi token non lasciano mai il browser.

JWT codificato

Decode and verify entirely in your browser — nothing is uploaded.

I file vengono eliminati automaticamente dopo l'elaborazioneElaborato in modo sicuro tramite HTTPS

Frequently Asked Questions

Incolla il JWT codificato (la lunga stringa eyJ…) nella casella di input. Lo strumento lo divide in corrispondenza dei due punti, decodifica in Base64URL l'header e il payload e ne mostra il JSON insieme al segmento grezzo della firma — il tutto senza effettuare alcuna richiesta di rete.

usage

No. Il decoder si limita ad analizzare il token: non verifica la firma rispetto a una chiave segreta o pubblica, perché la verifica richiede il materiale chiave dell'emittente. Per la verifica in produzione usa una libreria JWT lato server; questo strumento serve per l'ispezione e il debug.

technical

Ottieni l'header (algoritmo e id della chiave), i claim del payload (sub, iss, aud, iat, exp ed eventuali claim personalizzati) e la firma grezza. I claim timestamp standard vengono formattati come date leggibili dall'utente così puoi individuare a colpo d'occhio i token scaduti.

features

Se il payload contiene il claim standard "exp", lo strumento lo confronta con l'ora attuale e mostra "Valido fino al" oppure "Token scaduto il" con il timestamp esatto. I token senza claim exp vengono segnalati come privi di scadenza.

features

Chiunque legga il payload di un JWT può usarlo finché non scade, quindi i token di produzione vanno gestiti in strumenti privati. Questo decoder funziona interamente nel tuo browser e non trasmette mai il token, ma la regola più sicura è decodificare token di sviluppo a breve durata ogni volta che è possibile.

privacy

Un JWT ha tre segmenti codificati in Base64URL separati da punti: header (algoritmo di firma), payload (i claim che l'emittente vuole far considerare attendibili al verificatore) e signature (un MAC o una firma digitale su header.payload). La decodifica non richiede mai una chiave — la richiede solo la verifica.

technical

Un token compatto e sicuro per gli URL composto da tre segmenti Base64URL — header, payload e firma — che trasporta dati firmati come un ID utente e una scadenza. È ampiamente usato per sessioni di login stateless e per proteggere le richieste API. Incollane uno qui sopra per ispezionarne header e payload.

technical

Sotto l'header e il payload decodificati, incolla il segreto di firma (per HS256) o la chiave pubblica dell'emittente in formato PEM o JWK (per RS256, ES256 e simili) nella casella Verifica firma, poi clicca Verifica. Il badge che compare indica se la firma è valida, non valida o usa un algoritmo che il verificatore lato browser non supporta — tutto calcolato localmente, senza inviare il token o la chiave da nessuna parte.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Clicca Try sample JWT per caricare un token dimostrativo HS256 con i claim sub, name, iat ed exp, così puoi vedere come funzionano la decodifica e il controllo di scadenza prima di incollare il tuo token. Una volta inserito un token nella casella, accanto compare un pulsante Clear che svuota l'input con un solo clic.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Debug dei flussi OAuth e OpenID Connect

Decodifica gli access token e gli ID token restituiti da Auth0, Okta, Cognito e Azure AD per verificare scope, audience e issuer durante il lavoro di integrazione OAuth in locale

For Developers

Ispeziona gli header di autorizzazione nelle chiamate API

Incolla il bearer token di una richiesta API che fallisce per verificare se il problema è dovuto a tenant, ruolo o scadenza errati prima di aprire un ticket con il team di backend

For Developers

Verifica la scadenza del token durante lo sviluppo

Individua i token scaduti che bloccano silenziosamente il tuo ambiente di staging leggendo il claim exp, senza dover copiare il token in un terminale o scrivere un rapido script

For Business

Verifica i permessi codificati nei claim del token

Verifica i claim personalizzati come ruoli, tenant e feature flag, così gli amministratori possono confermare che il token di un cliente conceda esattamente l'accesso previsto dal team di licenze

For Business

Convalida le integrazioni Single Sign-On

Ispeziona i token SAML e OIDC generati dalle integrazioni SSO aziendali per confermare le appartenenze ai gruppi e le mappature degli attributi prima del rilascio a tutti i dipendenti

Education

Insegna l'autenticazione basata su token

Usa i pannelli decodificati di intestazione, payload e firma per spiegare come sono strutturati i JWT a studenti di bootcamp, ingegneri junior e partecipanti a workshop sulla sicurezza

For Developers

Verifica la Configurazione di Firma Webhook di un Partner

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.