Decoder JWT

Incolla un token JWT per decodificare intestazione e payload. Nessuna verifica della firma.

Best Practice per l'Ispezione JWT


La decodifica di un token aiuta a ispezionare le claims durante il debug dell'autenticazione, ma non prova l'autenticità.

  • Verificare i timestamp exp e nbf prima di testare le route protette.
  • Controllare i valori aud, iss e sub rispetto alle impostazioni dell'ambiente.
  • Trattare i dati del payload decodificato come non attendibili fino al successo della verifica della firma.

FAQ del Decoder JWT


La decodifica verifica la firma del token?

No. La decodifica legge solo i segmenti del token e non valida l'autenticità.

Perché exp e iat sembrano numeri grandi?

Le claims temporali JWT sono timestamp Unix, generalmente in secondi dall'epoch.

Posso condividere payload decodificati in sicurezza?

Solo se le claims non contengono dati sensibili. I token possono includere informazioni private dell'utente.

Wikipedia — JSON Web Token