Decodificatore JWT gratuito online — Decodificare, analizzare e verificare i JSON Web Token
Benvenuto nel decodificatore JWT di Get-Tools, uno strumento gratuito e potente che funziona direttamente nel tuo browser per decodificare, analizzare e verificare i JSON Web Token in un istante. Che tu sia uno sviluppatore backend che esegue il debug dei flussi di autenticazione, un ingegnere della sicurezza che controlla i controlli di accesso, o uno studente che impara l'autenticazione web moderna, questo strumento ti fornisce tutto il necessario per comprendere il contenuto di un JWT senza installare alcun software o estensione del browser. Tutte le operazioni vengono eseguite interamente nel tuo browser, il che significa che i tuoi token non lasciano mai il tuo dispositivo — un vantaggio fondamentale in termini di privacy rispetto alle alternative basate su server.
Cos'e un JSON Web Token?
JSON Web Token (JWT, pronunciato "giot") e uno standard aperto definito nella specifica RFC 7519 per trasmettere informazioni in modo sicuro tra due parti sotto forma di un oggetto JSON compatto e compatibile con gli URL. I JWT sono ampiamente utilizzati nei sistemi OAuth 2.0, OpenID Connect, single sign-on (SSO), architetture a microservizi e applicazioni mobili che comunicano con API REST. Un JWT e composto da tre parti codificate in Base64url separate da punti: un'intestazione, un carico utile e una firma.
Struttura di un JWT — Le tre parti
1. Intestazione (Header)
L'intestazione e un piccolo oggetto JSON che specifica il tipo di token (solitamente "JWT") e l'algoritmo di firma utilizzato, come HS256, RS256 o ES256. La scelta dell'algoritmo determina direttamente come viene creata e verificata la firma. Gli algoritmi simmetrici come HMAC utilizzano una singola chiave segreta condivisa, mentre gli algoritmi asimmetrici come RSA ed ECDSA utilizzano una coppia di chiavi pubblica-privata, piu adatta per sistemi distribuiti dove il verificatore non deve possedere la chiave di firma.
2. Carico utile (Payload)
Il carico utile contiene le rivendicazioni (claims) — informazioni sull'utente, sull'autorita emittente e sul token stesso. Esistono tre categorie: claims registrate definite dalla specifica JWT (come sub per il soggetto, iss per l'emittente, aud per il pubblico, exp per la scadenza, iat per la data di emissione e nbf per "non prima di"), claims pubbliche registrate nel registro IANA e claims private concordate tra le parti. Le claims temporali sono particolarmente importanti perche controllano quando un token diventa valido e quando scade.
3. Firma (Signature)
La firma viene generata applicando l'algoritmo specificato nell'intestazione all'intestazione e al carico utile codificati, combinati con una chiave segreta o una chiave privata. Quando il destinatario riceve il token, puo ricalcolare la firma con la chiave corrispondente e confrontarla con quella nel token. Se corrispondono, il token e autentico e non e stato modificato. Questo e il meccanismo fondamentale che rende JWT un metodo affidabile per l'autenticazione stateless.
Come funziona il decodificatore JWT di Get-Tools
Quando incolli un JWT nel campo di input, lo strumento lo divide istantaneamente nelle sue tre parti e assegna un codice colore a ciascuna: ambra per l'intestazione, verde per il carico utile e viola per la firma. Poi decodifica il Base64url e mostra il contenuto JSON in un formato strutturato e leggibile. Le claims temporali come exp, iat e nbf vengono rilevate automaticamente e convertite in date leggibili, con un badge in tempo reale che mostra se il token e ancora valido o e gia scaduto.
Funzionalita principali
- Decodifica in tempo reale: i risultati appaiono mentre digiti, senza bisogno di cliccare un pulsante
- Parti del token colorate: intestazione, carico utile e firma visivamente distinte
- Analisi temporale: rilevamento automatico di
exp,iatenbfcon badge di validita - Verifica della firma: supporto per HMAC, RSA, RSA-PSS ed ECDSA
- Copia con un clic: pulsanti dedicati per copiare header e payload in formato JSON
- Token di esempio: un JWT integrato con la sua chiave segreta per test rapidi
- Privacy totale: tutta l'elaborazione avviene nel tuo browser — nessun dato viene inviato a un server
Algoritmi supportati
Lo strumento supporta gli algoritmi di firma JWT piu diffusi tramite la Web Crypto API: HMAC con SHA-256, SHA-384 e SHA-512 per la firma simmetrica; RSASSA-PKCS1-v1_5 e RSA-PSS per la firma asimmetrica RSA; ed ECDSA con le curve P-256, P-384 e P-521 per la firma basata su curve ellittiche.
Considerazioni sulla sicurezza
Ricorda che JWT e codificato in Base64, non cifrato — chiunque abbia il token puo leggerne il contenuto. Non includere mai password, numeri di carte di credito o altri dati sensibili nel carico utile di un JWT. Trasmetti sempre i token tramite HTTPS, imposta tempi di scadenza brevi per i token sensibili, ruota regolarmente le chiavi di firma e preferisci algoritmi asimmetrici come RS256 o ES256 in ambienti di produzione.