Header
Contiene i metadati del token: algoritmo di firma (alg) e tipo di token (typ). Codificato in Base64URL.
Decodificatore JWT
Decodifica i JSON Web Token (JWT) per visualizzare l'header e i payload claim senza verificare la firma. Visualizza la struttura del token, analizza i claim, controlla i tempi di scadenza e risolvi facilmente i problemi di autenticazione. Elaborazione 100% lato client per la massima privacy.
Decodificatore JWT
🚀 Prova questi JWT di esempio:
📐 Anatomia della Struttura JWT
Payload
Contiene i claim (dati utente, permessi, scadenza). Anche questo codificato in Base64URL. Non è criptato!
Firma
Hash crittografico di header + payload + chiave segreta. Usata per verificare l'integrità del token.
Sostieni MiniWebtool
Il tuo ad blocker ci impedisce di mostrare annunci
MiniWebtool è gratuito grazie agli annunci. Se questo strumento ti è stato utile, sostienici con Premium (senza annunci + più veloce) oppure inserisci MiniWebtool.com nella whitelist e ricarica la pagina.
- Oppure passa a Premium (senza annunci)
- Consenti gli annunci per MiniWebtool.com, poi ricarica
Decodificatore JWT
Benvenuto nel Decodificatore JWT, un potente strumento online per sviluppatori per decodificare e ispezionare istantaneamente i JSON Web Token (JWT). Che tu stia eseguendo il debug di problemi di autenticazione, verificando i claim dei token o imparando la struttura dei JWT, questo strumento fornisce una visualizzazione chiara e con codice colore di tutti i componenti del token senza inviare alcun dato a server esterni.
Cos'è un JSON Web Token (JWT)?
Un JSON Web Token (JWT, pronunciato "jot") è uno standard aperto (RFC 7519) che definisce un metodo compatto e autonomo per trasmettere in modo sicuro informazioni tra le parti come oggetto JSON. I JWT sono ampiamente utilizzati per:
- Autenticazione: Dopo che un utente ha effettuato l'accesso, ogni richiesta successiva include un JWT, consentendo l'accesso a rotte, servizi e risorse autorizzati con quel token.
- Scambio di informazioni: I JWT possono trasmettere informazioni in modo sicuro tra le parti perché possono essere firmati utilizzando chiavi segrete (HMAC) o coppie di chiavi pubbliche/private (RSA, ECDSA).
- Autorizzazione: I server possono verificare i claim del token per determinare i permessi dell'utente senza interrogare un database per ogni richiesta.
Struttura dei JWT Spiegata
Un JWT è composto da tre parti separate da punti (.):
1. Header (Rosso)
L'header in genere contiene due informazioni:
alg: L'algoritmo di firma utilizzato (es. HS256, RS256, ES256)typ: Il tipo di token, che è sempre "JWT"
2. Payload (Viola)
Il payload contiene i claim: dichiarazioni sull'utente e metadati aggiuntivi. Esistono tre tipi di claim:
- Claim registrati: Claim predefiniti come
iss(emittente),exp(scadenza),sub(soggetto),aud(pubblico) - Claim pubblici: Claim personalizzati registrati nello IANA JSON Web Token Registry o definiti come URI
- Claim privati: Claim personalizzati concordati tra le parti (es.
user_id,role)
3. Firma (Blu)
La firma viene creata combinando l'header codificato, il payload codificato, una chiave segreta e l'algoritmo specificato nell'header. Garantisce che il token non sia stato manomesso.
Riferimento Claim JWT Comuni
| Claim | Nome | Descrizione |
|---|---|---|
iss |
Emittente | Identifica chi ha emesso il JWT (es. l'URL del tuo server di autenticazione) |
sub |
Soggetto | Identifica il soggetto del JWT (solitamente ID utente o email) |
aud |
Audience (Pubblico) | Identifica i destinatari a cui è destinato il JWT |
exp |
Tempo di scadenza | Timestamp Unix dopo il quale il JWT non è più valido |
nbf |
Non prima di | Timestamp Unix prima del quale il JWT non è valido |
iat |
Emesso il | Timestamp Unix di quando il JWT è stato emesso |
jti |
ID JWT | Identificatore univoco per il JWT (utile per prevenire attacchi replay) |
Algoritmi di Firma JWT
Algoritmi Simmetrici (HMAC)
HS256: HMAC utilizzando SHA-256 - Stessa chiave segreta per firma e verificaHS384: HMAC utilizzando SHA-384HS512: HMAC utilizzando SHA-512
Algoritmi Asimmetrici (RSA/ECDSA)
RS256: Firma RSA con SHA-256 - La chiave privata firma, la chiave pubblica verificaRS384: Firma RSA con SHA-384RS512: Firma RSA con SHA-512ES256: ECDSA utilizzando la curva P-256 e SHA-256ES384: ECDSA utilizzando la curva P-384 e SHA-384ES512: ECDSA utilizzando la curva P-521 e SHA-512
Considerazioni sulla Sicurezza
Decodifica vs Verifica
Importante: Questo strumento decodifica i JWT ma non li verifica. La decodifica rivela semplicemente il contenuto codificato in Base64URL, mentre la verifica richiede la chiave segreta per convalidare la firma. Non fidarti mai dei dati decodificati senza la verifica della firma lato server.
Migliori Pratiche
- Verifica sempre le firme lato server prima di fidarti di qualsiasi claim
- Usa tempi di scadenza brevi (
exp) - solitamente da 15 minuti a 1 ora per i token di accesso - Non memorizzare dati sensibili nel payload - è codificato, non criptato
- Usa HTTPS per prevenire l'intercettazione del token durante la trasmissione
- Valida il claim del destinatario (
aud) per prevenire l'uso improprio del token - Usa algoritmi asimmetrici (RS256, ES256) per sistemi distribuiti in cui più servizi devono verificare i token
Privacy e Sicurezza
Questo Decodificatore JWT opera interamente nel tuo browser:
- Nessuna trasmissione al server: Il tuo JWT non viene mai inviato a nessun server
- Elaborazione lato client: Tutta la decodifica avviene tramite JavaScript nel tuo browser
- Nessuna memorizzazione dei dati: Non memorizziamo, registriamo o tracciamo i tuoi token
- Logica open source: Puoi ispezionare la logica di decodifica negli strumenti per sviluppatori del tuo browser
Domande Frequenti
Cos'è un JWT (JSON Web Token)?
Un JSON Web Token (JWT) è uno standard aperto (RFC 7519) per trasmettere informazioni in modo sicuro tra le parti come oggetto JSON. I JWT sono comunemente usati per l'autenticazione e l'autorizzazione nelle applicazioni web. Un JWT è composto da tre parti: Header (algoritmo e tipo di token), Payload (claim/dati) e Firma (verifica).
È sicuro decodificare i JWT nel browser?
Sì, decodificare un JWT nel browser è sicuro perché l'header e il payload sono semplicemente codificati in Base64URL, non criptati. Tuttavia, ricorda che la decodifica NON verifica la firma del token. Non fidarti mai dei dati decodificati senza una corretta verifica della firma lato server. Questo strumento decodifica i token interamente nel tuo browser: nessun dato viene inviato a alcun server.
Cosa significano le diverse parti di un JWT?
Un JWT ha tre parti separate da punti: 1) Header - Contiene l'algoritmo (alg) e il tipo di token (typ), tipicamente HS256 o RS256 per la firma. 2) Payload - Contiene i claim, che sono dichiarazioni sull'utente e dati aggiuntivi come il tempo di scadenza (exp), la data di emissione (iat), il soggetto (sub), ecc. 3) Firma - Creata firmando l'header e il payload con una chiave segreta, usata per verificare che il token non sia stato manomesso.
Perché non posso verificare la firma con questo strumento?
La verifica della firma richiede la chiave segreta (per algoritmi simmetrici come HS256) o la chiave pubblica (per algoritmi asimmetrici come RS256). Poiché questo strumento viene eseguito interamente nel browser per motivi di privacy, non può accedere alle chiavi segrete del tuo server. Per verificare le firme, utilizza librerie lato server come jsonwebtoken (Node.js), PyJWT (Python) o jwt-go (Go).
Quali sono i claim JWT comuni?
I claim registrati comuni includono: iss (issuer), sub (subject), aud (audience), exp (expiration time), nbf (not before), iat (issued at) e jti (JWT ID). I claim personalizzati possono includere user_id, email, ruoli, permessi o qualsiasi dato specifico dell'applicazione. I claim basati sul tempo (exp, nbf, iat) sono timestamp Unix.
Risorse Aggiuntive
Cita questo contenuto, pagina o strumento come:
"Decodificatore JWT" su https://MiniWebtool.com/it// di MiniWebtool, https://MiniWebtool.com/
dal team di miniwebtool. Aggiornato: 03 feb 2026