Decodifica localmente header e payload di un JSON Web Token. Leggere i claim non verifica la firma.
Correlate
JSON, JWT, and Base64 tools that process every byte locally in your browser tab — no upload endpoint, no server-side logs of pasted payloads.
Base64 è una codifica reversibile, non una cifratura. Decodificalo in un passaggio, gestisci correttamente Unicode e leggi le sezioni JWT che usano Base64url.
Una validazione rapida prima di inviare una richiesta API separa nettamente i problemi di sintassi JSON dagli errori di autenticazione, schema e backend.
Un JWT è composto da tre segmenti codificati in Base64url e separati da punti : header.payload.signature. Incolla il token e clicca su Decode per leggere header e payload come JSON. Tutto avviene nel tuo browser —— il token non viene inviato a un server, cosa importante dato che i JWT spesso portano claim di identità e sessione.
Che tu cerchi decode jsonwebtoken (una parola), jwt decode o json web token decoder : il tool fa sempre la stessa cosa : divide sui punti, decodifica i primi due segmenti in Base64url e mostra il risultato come JSON.
Chiunque può decodificare un JWT —— non serve nessuna chiave perché il payload è solo codificato, non cifrato. La decodifica indica soltanto cosa il token dichiara ; non dimostra che sia autentico. Verifica sempre la firma lato server con la tua chiave segreta o pubblica prima di fidarti di qualsiasi claim, e non inserire mai password o segreti nel payload di un JWT.
iss emittente · sub soggetto · aud audienceexp scadenza · iat emesso il · nbf non prima di (timestamp Unix)Per maggiori dettagli vedi Come decodificare un JWT e Perché Base64 non è crittografia. Per ispezionare manualmente i singoli segmenti, usa il decoder Base64.
No. La decodifica mostra solo ciò che il token dichiara ; non dimostra l’autenticità. Verifica sempre la firma lato server con la tua chiave segreta o pubblica prima di fidarti di qualsiasi claim, e non memorizzare mai informazioni sensibili nel payload di un JWT.