Perché la firma non viene verificata?

La verifica richiede la chiave pubblica dell'emittente (per algoritmi asimmetrici come RS256/ES256) o il segreto simmetrico (HS256). Entrambi appartengono al tuo backend, non a uno strumento browser. Chiunque esegua JavaScript sulla tua macchina dovrebbe altrimenti gestire quel segreto, che è esattamente ciò che un design JWT cerca di evitare.

Posso decodificare qualsiasi JWT senza il segreto?

Sì — l'intestazione e il payload sono codificati in Base64url, non cifrati. Chiunque abbia il token può leggerne il contenuto. Ecco perché non dovresti mai inserire segreti (password, numeri di carta grezzi) all'interno di un payload JWT.

Quali algoritmi supporta il decodificatore?

Tutti, per ispezione. Lo strumento legge il nome dell'algoritmo dall'intestazione ma non lo applica. Valori comuni: HS256 (HMAC-SHA-256, simmetrico), RS256 (RSA-SHA-256, asimmetrico), ES256 (ECDSA-P256-SHA-256). Il pericoloso algoritmo 'none' — che significa 'questo token non ha firma' — deve sempre essere rifiutato dal codice di verifica.

Decodificatore JWT

Incolla un JWT — visualizza intestazione, payload, algoritmo e scadenza in un'unica schermata.

Buğra SözeriSviluppatore

Updated June 10, 2026 · Published June 10, 2026

Un JSON Web Token (JWT) trasporta claim su un utente autenticato in tre parti separate da punti: un'intestazione codificata in Base64url, un payload codificato in Base64url e una firma (tipicamente basata su SHA-256). Il decodificatore divide il token, analizza ogni segmento come JSON, mostra l'algoritmo e il tempo alla scadenza. Non verifica la firma— questo richiede la chiave dell'emittente e dovrebbe avvenire nel tuo backend, non in uno strumento browser.

Tutta la decodifica avviene localmente. Convertitive non registra, memorizza né trasmette mai il token che incolli.

JWT (header.payload.signature)

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Algorithm

HS256

Expires

no exp claim

Signature is shown for reference but not verified. Verifying a JWT requires the issuer’s public or symmetric key — that step happens on your backend, not in a browser tool.

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

How to use

Incolla il tuo JWT
Tre segmenti Base64url uniti da punti. Il token codificato di solito è una lunga riga — le interruzioni di riga sono tollerate.
Ispeziona intestazione e payload
Ogni segmento viene mostrato come JSON formattato. La scheda algoritmo estrae 'alg' dall'intestazione per una consultazione rapida.
Verifica la scadenza
Se il payload contiene 'exp' (timestamp Unix in secondi), lo strumento calcola quanto tempo manca in base all'ora corrente della tua macchina.

Frequently asked questions

Perché la firma non viene verificata?: La verifica richiede la chiave pubblica dell'emittente (per algoritmi asimmetrici come RS256/ES256) o il segreto simmetrico (HS256). Entrambi appartengono al tuo backend, non a uno strumento browser. Chiunque esegua JavaScript sulla tua macchina dovrebbe altrimenti gestire quel segreto, che è esattamente ciò che un design JWT cerca di evitare.
Posso decodificare qualsiasi JWT senza il segreto?: Sì — l'intestazione e il payload sono codificati in Base64url, non cifrati. Chiunque abbia il token può leggerne il contenuto. Ecco perché non dovresti mai inserire segreti (password, numeri di carta grezzi) all'interno di un payload JWT.
Quali algoritmi supporta il decodificatore?: Tutti, per ispezione. Lo strumento legge il nome dell'algoritmo dall'intestazione ma non lo applica. Valori comuni: HS256 (HMAC-SHA-256, simmetrico), RS256 (RSA-SHA-256, asimmetrico), ES256 (ECDSA-P256-SHA-256). Il pericoloso algoritmo 'none' — che significa 'questo token non ha firma' — deve sempre essere rifiutato dal codice di verifica.

Decodificatore JWT

How to use

Incolla il tuo JWT

Ispeziona intestazione e payload

Verifica la scadenza

Frequently asked questions

Strumenti correlati