Valida Token JSON Web con elaborazione in tempo reale e controlli di sicurezza
Strumenti professionali per
Incolla qualsiasi JWT e vedi istantaneamente l'header, il payload e la firma decodificati con visualizzazione codificata a colori
Supporta algoritmi HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) e PSS
Rileva e visualizza automaticamente lo stato di scadenza del token con il tempo rimanente o trascorso dalla scadenza
Visualizza tutti i claims standard (iss, sub, aud, exp, iat) e claims personalizzati con etichette leggibili dall'uomo
Crea nuovi token JWT con header, payload e secrets personalizzati per test e sviluppo
Tutta l'elaborazione dei token avviene nel tuo browser — i tuoi secrets e token non vengono mai inviati ad alcun server
Domande comuni su
Un JWT (JSON Web Token) è un formato di token compatto usato per l'autenticazione. Ha tre parti codificate in Base64URL separate da punti: l'header (algoritmo e tipo), il payload (claims come ID utente e scadenza) e la firma (prova crittografica che il token non è stato manomesso).
Sì. Tutta la decodifica avviene localmente nel tuo browser — nessun dato viene inviato ad alcun server. Ricorda tuttavia che i payload JWT sono solo codificati in Base64, non cifrati. Chiunque abbia il token può leggere il payload, quindi non mettere mai segreti nei claims JWT.
HS256 usa una chiave segreta condivisa (simmetrica) — sia il creatore che il verificatore hanno bisogno dello stesso segreto. RS256 usa una coppia di chiavi pubblica/privata (asimmetrica) — il creatore firma con una chiave privata e chiunque può verificare con la chiave pubblica. Usa RS256 per le API pubbliche.
Incolla il token e il nostro strumento legge automaticamente il claim 'exp' e lo confronta con l'ora corrente. Mostra se il token è valido, scaduto o non ha una scadenza impostata, insieme al tempo esatto rimanente o trascorso.
Sì. Inserisci un header e payload personalizzati, fornisci un segreto, e lo strumento genera un JWT firmato. Questo è utile per testare l'autenticazione API localmente, creare token mock per lo sviluppo e imparare come funziona la firma JWT.
I payload JWT sono codificati in Base64, non cifrati — chiunque abbia il token può decodificare e leggere il contenuto. Archivia solo identificatori non sensibili (ID utente, ruoli, scadenza) nei JWT. Mantieni i dati sensibili lato server e riferiscili per ID.