Decodificatore JWT

Un JWT (JSON Web Token) è un token compatto, sicuro per l'URL, utilizzato per l'autenticazione e lo scambio di informazioni tra le parti. La decodifica di un JWT consente di visualizzare l'intestazione (tipo di token e algoritmo), il payload (richieste e dati utente) e la firma. Gli sviluppatori decodificano i JWT per eseguire il debug dei problemi di autenticazione, ispezionare le autorizzazioni degli utenti o comprendere i contenuti dei token durante lo sviluppo.

È sufficiente incollare il token JWT nel campo di input e fare clic su "Decodifica JWT". Lo strumento analizzerà immediatamente il token e visualizzerà l'intestazione e il payload in formato JSON leggibile. Si vedranno tutte le richieste, i tempi di scadenza, le informazioni sull'emittente e tutti i dati personalizzati memorizzati nel token.

No, questo decodificatore visualizza solo l'intestazione e il contenuto del payload del JWT e non verifica la firma. La verifica della firma richiede la chiave segreta o pubblica, che non deve mai essere condivisa o inserita in strumenti online. Per sicurezza, verificare sempre i JWT lato server utilizzando librerie appropriate con le proprie chiavi segrete.

Un JWT decodificato mostra tipicamente: il tipo di token e l'algoritmo di firma nell'intestazione; e affermazioni come "iss" (issuer), "sub" (subject), "aud" (audience), "exp" (expiration time), "iat" (issued at) e qualsiasi indicazione personalizzata nel payload. Queste informazioni aiutano a capire chi ha emesso il token, quando scade e quali autorizzazioni o dati contiene.

La decodifica dei JWT lato client è generalmente sicura, poiché i JWT sono progettati per essere leggibili da chiunque: sono codificati in base64, non crittografati. Tuttavia, non decodificate mai i JWT contenenti dati altamente sensibili utilizzando strumenti pubblici online. Questo strumento elabora i token interamente nel browser senza inviare dati ai server, ma evitate di usarlo con token di produzione contenenti informazioni sensibili.

I JWT seguono una struttura standard con tre parti codificate in base64 e separate da punti: header.payload.signature. L'intestazione descrive il tipo di token e l'algoritmo, il payload contiene le richieste e i dati e la firma assicura che il token non sia stato manomesso. Questa struttura rende i JWT compatti e sicuri dal punto di vista degli URL, pur mantenendo la sicurezza.

I JWT decodificati contengono un'indicazione "exp" (expiration), che è un timestamp Unix. Se il timestamp è maggiore del valore exp, il token è scaduto. Il decodificatore visualizza questo timestamp in formato leggibile per aiutare l'utente a verificare la validità del token.

'iat' (issued at) indica quando il token è stato creato, 'exp' (expiration time) indica quando scade e 'nbf' (not before) specifica quando il token diventa valido. Questi timestamp aiutano a controllare il ciclo di vita del token e a prevenire il riutilizzo del token in periodi di tempo diversi.

Sì! I token di accesso OAuth 2.0 e i token ID OpenID Connect utilizzano spesso il formato JWT. La decodifica rivela ambiti, autorizzazioni, identificatori utente e dettagli di autenticazione. Ciò è prezioso per il debug dei flussi di autenticazione, la verifica delle autorizzazioni concesse e la risoluzione dei problemi di integrazione.