Decodifica JWT (mostra header/payload, nessuna verifica firma)
Incolla un token per controllarne subito il contenuto (la validita della firma non viene verificata).
exp / iat / nbf vengono mostrati come Unix time e datetime (UTC/locale) con stato relativo.
Avviso: questa pagina non verifica le firme
Questa pagina si limita a decodificare il contenuto del token. Poiche non viene eseguita la verifica della firma, eventuali manomissioni non possono essere rilevate. Non usare questo output per giudicarne l'autenticita.
I token inseriti vengono elaborati nel browser e non sono inviati a un server.
Come si usa
- Incolla un JWT (e accettato anche il prefisso Bearer).
- Controlla le schede Payload / Header.
- Usa le viste datetime e relativa per exp / iat / nbf.
Esempio
Controlla i claim di un token API
Input: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Output: Campi alg, typ, iss, sub, aud, exp formattati
Sicurezza e privacy
- Questo strumento e solo di visualizzazione (nessuna verifica della firma).
- I token inseriti vengono elaborati localmente nel browser e non trasmessi.
- Gestisci con attenzione i token sensibili quando condividi screenshot o log.
- Se ti serve la verifica, usa strumenti dedicati o validazione lato server.
FAQ
Che cosa significa "nessuna verifica"?
Questa pagina si limita a decodificare e mostrare il contenuto del token. Poiche le firme non vengono verificate, eventuali manomissioni non possono essere rilevate. Non usarla per decidere l'autenticita.
Non voglio inserire una chiave segreta
Non e richiesta alcuna chiave segreta. Serve solo la stringa JWT per vedere header e payload.
Posso leggere exp come datetime?
exp (e anche iat / nbf) vengono mostrati come Unix time e datetime con commutazione UTC/locale.
Puo leggere token JWE cifrati?
No. Questo strumento e pensato per la tipica decodifica JWT a 3 parti in stile JWS e non decifra i JWE.
I token con alg:none vengono comunque mostrati?
Possono essere mostrati, ma senza verifica questo strumento non puo determinarne sicurezza o autenticita.