Decoder e verificatore JWT

Decodifica localmente header e payload dei JSON Web Token, esamina le claim registrate e verifica le firme HS, RS, PS ed ES con un segreto, una chiave pubblica PEM, JWK o JWKS.

Token
Incolla un JWT compatto. L'header e il payload vengono decodificati localmente prima di eseguire qualsiasi controllo della firma.
Verifica della firma
Verifica la firma JWS con un segreto condiviso, una chiave pubblica PEM, JWK o JWKS.
auto

Auto usa il valore alg dall'header JWT. La selezione manuale deve comunque corrispondere all'header.

Usa testo semplice per gli algoritmi HS. Usa una chiave pubblica PEM, JWK o JWKS per gli algoritmi RS, PS ed ES. I valori non vengono salvati.

Header
JSON formattato decodificato dal segmento del token.
Payload
JSON formattato decodificato dal segmento del token.
Claim registrate
Controlli rapidi per le claim JWT comuni basate sul tempo.
  • Scade il 2030-01-01T00:00:00.000Z.Valido

What is a JWT decoder and verifier?

Un JSON Web Token è una stringa compatta con tre segmenti base64url: un header, un payload e una firma. Questo strumento decodifica l’header e il payload nel browser, così puoi esaminare la struttura del token senza inviarlo a un server.

La verifica della firma controlla se il token è stato firmato con la chiave e l’algoritmo che ti aspetti. Usa un segreto condiviso per i token HS256, HS384 o HS512. Usa una chiave pubblica PEM, JWK o JWKS per i token RS, PS ed ES.

When to use it

Usa il decoder durante il debug dei flussi di autenticazione, la verifica delle claim OAuth o OpenID Connect, il confronto tra ambienti o la conferma che un backend stia emettendo i valori attesi per audience, issuer, subject, scadenza e identificatore della chiave.

Usa la verifica quando hai il segreto o la chiave pubblica corrispondente e devi confermare che header, payload e firma appartengano ancora allo stesso token. Lo strumento evidenzia anche exp, nbf e iat, così i problemi comuni di orologio e scadenza sono visibili immediatamente.

Security notes

I payload JWT sono solo codificati, non crittografati. Chiunque abbia il token può leggerne le claim, a meno che il token non sia un JWE crittografato separato, che questo strumento non elabora.

Non incollare token di produzione o segreti privati su macchine condivise. Lo strumento viene eseguito localmente nel browser e non archivia il token o il materiale di verifica, ma il flusso di lavoro più sicuro resta usare token di test a breve durata e chiavi pubbliche ogni volta che è possibile.