Toova verifica la firma JWT?

No. La verifica richiede la chiave di firma, che solo l'emittente possiede. Toova decodifica header e payload così puoi ispezionare i claim, ma fidarsi del token richiede ancora la verifica lato server con il segreto o la chiave pubblica.

Il mio token viene inviato da qualche parte?

No. Il decoder gira interamente nel browser. Il token non lascia mai il dispositivo, e ci sono zero richieste di rete in uscita durante la decodifica. Apri DevTools e verificalo tu stesso.

Posso decodificare un token scaduto?

Sì. Il decoder funziona indipendentemente dalla scadenza. Segnala il token come scaduto e mostra quando è passato il claim exp, il che aiuta quando fai debug del perché una richiesta è stata rifiutata.

Cosa mi dice il campo alg?

Identifica l'algoritmo di firma — HS256 per HMAC-SHA256, RS256 per RSA, ES256 per ECDSA, e così via. Se alg è "none" il token non è firmato, il che è quasi sempre un bug di sicurezza.

Perché i timestamp sono numeri?

I claim JWT usano secondi epoch Unix. Toova traduce iat, nbf ed exp nel tuo fuso orario locale così puoi leggerli, mantenendo il valore grezzo visibile come riferimento.

JWT Decoder — Decodifica e ispeziona JSON Web Token

Decodifica un JWT (JSON Web Token) e ispeziona header e payload senza inviare il token da nessuna parte. Toova mostra l'algoritmo, i claim, i timestamp di emissione e scadenza in forma leggibile, e segnala i token già scaduti — tutto localmente, nel browser.

Perché decodificare i JWT localmente

Ogni altro decoder JWT ti chiede di incollare il token in un form remoto. Il problema è ovvio — se il token è valido, chiunque gestisca quel server può impersonarti. Toova decodifica il token interamente nel browser, senza upload e senza log. Puoi incollare un access token di produzione, ispezionare i claim e verificare che sia correttamente strutturato senza passarlo a terze parti.

Cosa vedi nell'output decodificato

Toova divide il token in header, payload e firma. L'header mostra l'algoritmo e il key ID. Il payload è JSON stampato in modo leggibile con ogni claim standard (iss, sub, aud, exp, nbf, iat, jti) convertito in forma leggibile. I timestamp vengono tradotti nel tuo fuso orario locale e lo strumento segnala se il token è attualmente valido, scaduto o non ancora attivo.

Solo decodifica, mai fiducia cieca

Decodificare un JWT non equivale a verificarlo. Il decoder ti mostra cosa afferma il token, ma non controlla la firma — quello richiede la chiave di firma, che risiede sul server che ha emesso il token. Usa Toova per fare debug della struttura dei claim, della scadenza e dei valori audience; usa la tua libreria di autenticazione per verificare la fiducia prima di concedere accesso.

Domande frequenti

Toova verifica la firma JWT?: No. La verifica richiede la chiave di firma, che solo l'emittente possiede. Toova decodifica header e payload così puoi ispezionare i claim, ma fidarsi del token richiede ancora la verifica lato server con il segreto o la chiave pubblica.
Il mio token viene inviato da qualche parte?: No. Il decoder gira interamente nel browser. Il token non lascia mai il dispositivo, e ci sono zero richieste di rete in uscita durante la decodifica. Apri DevTools e verificalo tu stesso.
Posso decodificare un token scaduto?: Sì. Il decoder funziona indipendentemente dalla scadenza. Segnala il token come scaduto e mostra quando è passato il claim exp, il che aiuta quando fai debug del perché una richiesta è stata rifiutata.
Cosa mi dice il campo alg?: Identifica l'algoritmo di firma — HS256 per HMAC-SHA256, RS256 per RSA, ES256 per ECDSA, e così via. Se alg è "none" il token non è firmato, il che è quasi sempre un bug di sicurezza.
Perché i timestamp sono numeri?: I claim JWT usano secondi epoch Unix. Toova traduce iat, nbf ed exp nel tuo fuso orario locale così puoi leggerli, mantenendo il valore grezzo visibile come riferimento.

JWT Decoder & Inspector

Perché decodificare i JWT localmente

Cosa vedi nell'output decodificato

Solo decodifica, mai fiducia cieca

Domande frequenti