Toolverse

JWT Decoder

Incolla un JSON Web Token per leggere la sua intestazione e payload come JSON formattato. Le rivendicazioni di timestamp vengono visualizzate come date UTC leggibili. La decodifica avviene nel tuo browser.

Questo strumento decodifica solo il token - NON verifica la firma. Non fidarti mai di un token decodificato come prova di autenticazione.

Rivendicazioni di timestamp (UTC)

iat
2018-01-18T01:30:22.000Z

Come usarlo

Incolla un JSON Web Token nella casella. Un JWT è costituito da tre segmenti base64url uniti da punti - intestazione, payload e firma, in quell'ordine. Lo strumento divide il token sui punti e decodifica base64url i primi due segmenti in JSON leggibile e formattato in modo da poterli ispezionare affiancati. L'intestazione descrive come è stato prodotto il token: l'algoritmo di firma, come HS256 o RS256, e il tipo di token. Il payload contiene le rivendicazioni - le affermazioni effettive che il token fa. Un token per un utente connesso in genere indica un soggetto (di chi è il token), un emittente (chi l'ha creato) e una scadenza, insieme a eventuali rivendicazioni personalizzate aggiunte dall'applicazione. Le rivendicazioni di timestamp sono quelle che le persone fraintendono di più. Le rivendicazioni di tempo standard - iat (emesso a), exp (scade) e nbf (non prima) - sono archiviate come secondi dall'epoca Unix, che non è leggibile a prima vista. Lo strumento converte ognuna di esse in una data UTC formattata, così puoi vedere subito se un token è già scaduto o non è ancora valido. La decodifica non è verifica, e la differenza è importante. Chiunque abbia un JWT può leggere la sua intestazione e payload, perché quelle parti sono solo codificate, non crittografate. Solo la firma - controllata rispetto alla chiave di firma - dimostra che il token è autentico e non è stato manomesso. Questo strumento deliberatamente legge solo; non fidarti mai delle rivendicazioni di un token decodificato per una decisione di sicurezza senza verificare la firma sul tuo server. Tutto viene eseguito interamente nel tuo browser, quindi il token che incolli non viene mai caricato. Questo rende il decodificatore sicuro per i lavori quotidiani per cui è realizzato: il debug di un flusso di autenticazione, l'ispezione del motivo per cui una sessione è stata rifiutata, o la verifica esatta di quali rivendicazioni il tuo provider di identità emette.

Domande frequenti

Questo verifica la firma?
No. Decodifica solo l'intestazione e il payload in modo da poterli leggere. La verifica di un JWT richiede il segreto di firma o la chiave pubblica, che questo strumento non richiede mai. Non trattare un token decodificato come autenticato.
Cosa sono exp, iat e nbf?
Sono rivendicazioni di tempo standard in secondi dall'epoca Unix: iat (emesso a), nbf (non prima) e exp (scade). Questo strumento li converte in date UTC per te.
Il mio token viene inviato da qualche parte?
No. La decodifica viene eseguita interamente nel tuo browser; il token non viene mai caricato. Tuttavia, evita di incollare token di produzione in qualsiasi strumento online.
Perché posso leggere il payload senza una password?
Perché un JWT è codificato, non crittografato. L'intestazione e il payload sono solo base64url-codificati - un formato reversibile che chiunque può decodificare - quindi i loro contenuti sono completamente leggibili senza alcuna chiave. La firma è il livello di sicurezza: non nasconde i dati, dimostra che i dati non sono stati alterati. Per questo motivo, non mettere mai segreti in un payload JWT; tratta tutto in esso come pubblico.