Decodificatore JWT
Decodifica un JWT e ispeziona la sua intestazione e il payload, interamente nel tuo browser.
{
"alg": "HS256",
"typ": "JWT"
}{
"sub": "1234567890",
"name": "Ada Lovelace",
"iat": 1516239022
}- Emesso il (iat): 18 gen 2018, 01:30:22 UTC
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
La firma è mostrata così com'è. Questo strumento decodifica i token ma non verifica la firma, operazione che richiede il segreto o la chiave di firma.
Prossimi passi consigliati
Strumenti correlati
Codifica o decodifica testo in base64 e viceversa, con una variante adatta agli URL.
Converti array JSON in CSV e CSV di nuovo in JSON, nel tuo browser.
Prova un’espressione regolare su del testo e vedi corrispondenze e gruppi di cattura.
Domande frequenti
No. Decodifica l'intestazione e il payload per permetterti di leggere i claim e mostra la firma così com'è. Verificare la firma richiede il segreto o la chiave pubblica di firma, di cui questo strumento del browser non dispone. Considera il payload decodificato come non attendibile finché il tuo server non l'ha verificato.
No. La decodifica avviene interamente nel tuo browser usando l'analisi base64url e JSON integrata. Il token non lascia mai la pagina, quindi è sicuro ispezionare token reali.
Sono claim temporali standard, espressi in secondi dall'epoca Unix. iat indica quando il token è stato emesso, nbf l'orario più precoce in cui è valido ed exp quando scade. Lo strumento converte ciascuno in una data leggibile e ti indica se il token è scaduto in base all'orologio del tuo dispositivo.
Un JWT in formato compatto ha esattamente tre parti separate da punti (intestazione.payload.firma), e sia l'intestazione sia il payload devono essere JSON codificato in base64url. Se manca una parte, la codifica è errata o il testo decodificato non è JSON valido, lo strumento lo segnala invece di indovinare. I token JWE cifrati (cinque parti) non sono supportati.
Ultimo aggiornamento: 2026-06-23.