Vai al contenuto
Logo CrateX.app

CrateX.app

Decoder JWT

Decodifica localmente JWT standard in tre parti, ispeziona Header e Payload JSON formattati, copia la Signature grezza e controlla exp/nbf/iat senza verifica della firma.

Testo di input

Caratteri

0 / 16,000

Nota: questo strumento decodifica e visualizza solo il token. Non verifica la firma e le attestazioni decodificate possono essere falsificate finché un backend affidabile non le convalida.
Decoder JWT

Avvio rapido

1
Incolla il JWT completo con tre parti separate da punti.
2
Leggi JSON di Header e Payload; Signature è mostrata grezza, non verificata.
3
Controlla exp/nbf/iat con ora locale e UTC.
4
Copia la parte necessaria; cancella i token sensibili alla fine.

Scenari comuni

Debug API

ispeziona rapidamente il contenuto del token e confronta le attestazioni

Verifica scadenza

Ispeziona campo exp per vedere se token è valido

Impara JWT

Comprendi struttura Header/Payload e codifica Base64URL

Confronto ambienti

Confronta token tra dev/test/prod

Consigli d'uso

Il payload decodificato è leggibile, non attendibile. I sistemi di produzione devono verificare la firma e convalidare le regole iss, aud, sub, ambito e revoca sul backend.
Evita di incollare token con dati sensibili su dispositivi pubblici
I campi temporali sono timestamp Unix (secondi); lo strumento converte auto in ora locale/UTC

Contratto di decodificazione

L'input deve essere un JWT compatto in tre parti nel formato header.payload.signature. I token JWE in cinque parti e i formati token personalizzati sono fuori da questo decoder.
L'intestazione e il payload vengono decodificati da Base64URL come UTF-8 e quindi analizzati come JSON. Se una delle parti non è Base64URL o JSON valida, l'input di origine rimane al suo posto e il risultato mostra l'errore di corrispondenza.
Il pannello Signature mostra solo il terzo segmento grezzo. Qui non viene eseguita alcuna verifica con secret, public key, JWK/JWKS o Web Crypto.

Confine di sicurezza

La decodifica JWT viene eseguita localmente nel browser. L’input del token può restare come bozza nel browser. Se è attivo uno spazio di lavoro salvato o la sincronizzazione WebDAV, l’input del token può essere salvato tramite quella sincronizzazione. I dati mostrati per Header, Payload e Signature, le schede temporali dei claim, gli errori di parsing, lo stato di copia e la cronologia di annullamento derivano dal token corrente e non vengono salvati come dati di risultato separati. Questo strumento non verifica firme, non recupera JWKS o URL, non carica token, non crea allegati e non crea download di file decodificati. Su un dispositivo condiviso, cancella il token e i dati del sito al termine.
Se il token contiene informazioni sensibili, utilizza un dispositivo privato e cancella l'input dopo l'ispezione.
La decodifica rende leggibili solo le affermazioni. Ciò non dimostra che il token sia stato emesso dal tuo server, accettato da API o sicuro da considerare.
alg, kid, iss, aud, sub, scope, roles e jti vengono visualizzati come semplici campi JSON. Convalidali con il tuo backend, i metadati dell'emittente, le chiavi, le regole del pubblico e la politica di revoca.
Lo stato temporale utilizza exp e nbf con l'orologio locale. Lo spostamento dell'orologio del server, i periodi di tolleranza, la revoca della sessione e lo stato del token di aggiornamento possono modificare il risultato reale.
Non supportato qui: verifica della firma, input secret o public key, lookup JWK/JWKS, discovery OIDC, introspezione OAuth, decrittografia JWE, parsing di JWT annidati, generazione token e validazione server-side.

Limitazioni e compatibilità

Solo decodifica Base64URL — nessuna verifica firma
Solo JWT standard 3 parti supportato; JWE o formati personalizzati non supportati
JWT annidati (JWT nel payload) non elaborati
Lo stato temporale non è un controllo di validità completo. Un token può non essere scaduto ed essere comunque rifiutato dal server.
Questa pagina offre solo azioni di copia. Non scarica, esporta, salva o condivide file token decodificati.

Privacy e sicurezza

La decodifica JWT viene eseguita localmente nel browser. L’input del token può restare come bozza nel browser. Se è attivo uno spazio di lavoro salvato o la sincronizzazione WebDAV, l’input del token può essere salvato tramite quella sincronizzazione. I dati mostrati per Header, Payload e Signature, le schede temporali dei claim, gli errori di parsing, lo stato di copia e la cronologia di annullamento derivano dal token corrente e non vengono salvati come dati di risultato separati. Questo strumento non verifica firme, non recupera JWKS o URL, non carica token, non crea allegati e non crea download di file decodificati. Su un dispositivo condiviso, cancella il token e i dati del sito al termine.
Se il token contiene informazioni sensibili, utilizza un dispositivo privato e cancella l'input dopo l'ispezione.

Domande frequenti

6

Continua con questi strumenti correlati per il passaggio successivo.

Informazioni

Chi siamo
Prezzi

Note legali

Termini di servizio
Informativa sulla privacy
Informativa sui cookie

Preferenze

Gestisci i cookie

Tutta l'elaborazione degli strumenti avviene localmente nel tuo browser.