JWT decodificatore
Ispeziona un token prima di cercare il bug di autenticazione sbagliato. Decodifica header, claim, algoritmi, firme e stato di scadenza.
Token codificato
Output decodificato
Cos'è JWT?
JSON Web Token è un formato compatto per trasportare claim tra sistemi. Nel debug quotidiano, le domande utili sono solitamente semplici: chi ha emesso il token, a chi è destinato, quali autorizzazioni dichiara, quale algoritmo lo ha firmato e se è scaduto.
Intestazione
Mostra i metadati del token come typ, alg e talvolta kid, che puntano alla chiave utilizzata dall'emittente.
Payload
Contiene claim come sub, iss, aud, exp, iat, ruoli, ID tenant o dati di autorizzazione specifici dell'applicazione.
Firma
Protegge il token da manomissioni quando il server lo verifica con il segreto previsto o la chiave pubblica.
Scadenza
Il claim exp è spesso l'indizio più rapido nel debug dell'autenticazione. Un token ben formato è comunque inutile quando è già fuori dalla sua finestra di validità.
Domande frequenti su JWT
Un JWT è crittografato?
Di solito no. I JWT standard sono codificati, non crittografati: chiunque abbia il token può ispezionare header e payload. La firma protegge l'integrità, non la riservatezza.
La decodifica di un JWT verifica che sia affidabile?
No. La decodifica rivela solo il contenuto del token. L'affidabilità richiede la verifica della firma rispetto al segreto previsto o alla chiave pubblica, oltre ai controlli su emittente, audience, scadenza e regole dell'applicazione.
Cosa succede quando un token scade?
Se il claim exp è nel passato, il server deve rifiutare il token e il client deve autenticarsi nuovamente o richiedere un nuovo token di accesso tramite il flusso di refresh corretto.
Devo incollare i token di produzione in un decoder?
Tratta i token live come credenziali. Utilizza token di test di breve durata quando possibile ed evita di incollare token di accesso alla produzione sensibili in qualsiasi strumento che non controlli.