Decodificatore JWT - Decodifica i JSON Web Token e verifica la scadenza online

Incolla il JWT codificato (la lunga stringa eyJ…) nella casella di input. Lo strumento lo divide in corrispondenza dei due punti, decodifica in Base64URL l'header e il payload e ne mostra il JSON insieme al segmento grezzo della firma — il tutto senza effettuare alcuna richiesta di rete.

No. Il decoder si limita ad analizzare il token: non verifica la firma rispetto a una chiave segreta o pubblica, perché la verifica richiede il materiale chiave dell'emittente. Per la verifica in produzione usa una libreria JWT lato server; questo strumento serve per l'ispezione e il debug.

Ottieni l'header (algoritmo e id della chiave), i claim del payload (sub, iss, aud, iat, exp ed eventuali claim personalizzati) e la firma grezza. I claim timestamp standard vengono formattati come date leggibili dall'utente così puoi individuare a colpo d'occhio i token scaduti.

Se il payload contiene il claim standard "exp", lo strumento lo confronta con l'ora attuale e mostra "Valido fino al" oppure "Token scaduto il" con il timestamp esatto. I token senza claim exp vengono segnalati come privi di scadenza.

Chiunque legga il payload di un JWT può usarlo finché non scade, quindi i token di produzione vanno gestiti in strumenti privati. Questo decoder funziona interamente nel tuo browser e non trasmette mai il token, ma la regola più sicura è decodificare token di sviluppo a breve durata ogni volta che è possibile.

Un JWT ha tre segmenti codificati in Base64URL separati da punti: header (algoritmo di firma), payload (i claim che l'emittente vuole far considerare attendibili al verificatore) e signature (un MAC o una firma digitale su header.payload). La decodifica non richiede mai una chiave — la richiede solo la verifica.