Decodificatore JWT
Decodifica e ispeziona rapidamente header, payload e firma di un JSON Web Token direttamente nel tuo browser.
Incolla qualsiasi JSON Web Token qui sotto per decodificarlo. Il tuo token viene elaborato solo nella sessione corrente — non lo registriamo né lo memorizziamo.
Usa questo strumento dal tuo agente IA
API JSON e server Model Context Protocol (MCP) gratuiti. Nessuna registrazione, nessuna chiave API, CORS aperto. Pensato per Claude, ChatGPT, Cursor, script e applicazioni frontend.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Aggiungi a claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) o qualsiasi altro client compatibile con MCP:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Come usare
- Incolla il tuo token JWT nel campo sopra.
- Fai clic su Decodifica per visualizzare header, payload e firma.
- Per la verifica della firma, fornisci il segreto (HS256/384/512) o la chiave pubblica (RS256/384/512).
- Controlla lo stato di scadenza per vedere se il token è ancora attivo.
Caratteristiche principali
- Decodifica header e payload del JWT con un clic
- Verifica firme HS256, HS384, HS512 con un segreto
- Verifica firme RS256, RS384, RS512 con una chiave pubblica
- Mostra i timestamp di scadenza, non-prima e emesso-il in formato leggibile
- Il token non viene mai registrato né memorizzato sui nostri server
Casi d'uso comuni
- Eseguire il debug dei flussi di autenticazione nella tua applicazione
- Ispezionare i token restituiti da un provider OAuth o OpenID Connect
- Verificare quando scade un token di accesso
- Verificare che un token sia stato firmato dall'emittente atteso
Domande frequenti
Un JWT è un modo compatto e sicuro per gli URL di rappresentare claim tra due parti. È composto da tre parti — header, payload e firma — separate da punti. I JWT sono ampiamente utilizzati per autenticazione e autorizzazione (OAuth 2.0, OpenID Connect, single sign-on).
Sì — il token viene inviato al nostro server solo perché PHP possa decodificarlo e (facoltativamente) verificare la firma. Il token non viene mai registrato, mai memorizzato e mai scritto su disco. Esiste solo in memoria per la durata della richiesta.
Verifichiamo HS256, HS384, HS512 (HMAC con SHA-2) quando fornisci il segreto condiviso, e RS256, RS384, RS512 (RSA con SHA-2) quando fornisci la chiave pubblica dell'emittente in formato PEM. Altri algoritmi (ES256, EdDSA, ecc.) vengono decodificati ma non verificati.
Il claim exp (scadenza) è un timestamp Unix oltre il quale il token non deve più essere accettato. Un JWT scaduto deve essere rifiutato dal server anche se la firma è valida. Usa un refresh token per ottenere un nuovo token di accesso.
No. La decodifica di un JWT legge solo il suo contenuto — non dimostra che il token sia autentico. Devi sempre verificare la firma con il segreto o la chiave pubblica dell'emittente prima di fidarti di qualsiasi claim al suo interno.
