Strumenti JWT — Decodifica, Verifica e Firma

Decodifica i JWT, verifica le firme HS, RS ed ES con un segreto o una chiave pubblica PEM, e firma nuovi token HS — tutto interamente nel tuo browser.

Caricamento strumento…

Strumenti JWT — Decodifica, Verifica e FirmaUn toolkit tutto-in-uno per i JSON Web Token con tre modalità — Decodifica, Verifica e Firma. Decodifica mostra in modo formattato l'header e il payload di un token, Verifica controlla la firma con un segreto HMAC (HS256/384/512) o una chiave pubblica PEM (RS256/384/512, ES256/384/512), e Firma genera un nuovo token firmato in HS a partire dal tuo header, payload e segreto. Ogni operazione viene eseguita interamente lato client con la Web Crypto API integrata nel browser, così token, segreti e chiavi non lasciano mai il tuo dispositivo.

Cos'è Strumenti JWT — Decodifica, Verifica e Firma?

Strumenti JWT è un'utilità gratuita e tutto-in-uno per i JSON Web Token che riunisce un decodificatore, un verificatore di firma e un firmatario HS in un unico posto. In modalità Decodifica decodifica in base64url un token header.payload.signature e mostra l'header e il payload come JSON formattato. In modalità Verifica legge il campo alg dall'header del token e controlla la firma con la Web Crypto API: un segreto HMAC condiviso per HS256, HS384 e HS512, oppure una chiave pubblica in formato PEM per RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) ed ES256/ES384/ES512 (ECDSA). In modalità Firma costruisce e firma in HMAC un token nuovo di zecca a partire da un JSON di header, un JSON di payload, un algoritmo HS scelto e un segreto. È pensato per ingegneri backend e frontend, tester QA e integratori di API che eseguono il debug di autenticazione, sessioni OAuth/OIDC e scadenza dei token senza incollare segreti in un servizio remoto.

Come usare Strumenti JWT — Decodifica, Verifica e Firma

  1. Scegli una modalità in alto: Decodifica, Verifica o Firma.
  2. Decodifica: incolla un JWT (header.payload.signature) nella casella del token e leggi l'header e il payload formattati qui sotto — qui non viene eseguito alcun controllo della firma.
  3. Verifica: incolla il token, poi incolla il segreto HMAC (per gli algoritmi HS) o la chiave pubblica PEM (per RS/ES) nella casella della chiave; lo strumento legge l'alg dall'header e mostra un risultato verde 'valido' o rosso 'non valido'.
  4. Firma: inserisci un JSON di header e un JSON di payload, scegli HS256, HS384 o HS512, digita il tuo segreto e copia il token appena firmato che appare.
  5. Usa il pulsante Copia su qualsiasi output, o Cancella per reimpostare l'input di decodifica.

Esempi

Decodificare un token

Input

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Output

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

Verificare un token HS256

Input

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

Output

valid (HS256)

Firmare un nuovo token HS256

Input

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

Output

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Domande frequenti

I miei token, segreti e chiavi vengono caricati da qualche parte?
No. Ogni modalità viene eseguita interamente lato client nel tuo browser usando la Web Crypto API integrata (crypto.subtle) per HMAC e verifica della firma, oltre a base64url e JSON in JavaScript. Nulla — né il token, né il segreto, né la chiave PEM — viene mai inviato ad alcun server, il che rende sicuro lavorare con credenziali di produzione.
Quali algoritmi può verificare?
Verifica supporta HS256, HS384 e HS512 con un segreto HMAC condiviso, e RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) ed ES256/ES384/ES512 (ECDSA) con una chiave pubblica in formato PEM. Legge automaticamente il campo alg dall'header del token, quindi fornisci solo il segreto o la chiave pubblica corrispondente.
Con quali algoritmi può firmare?
La modalità Firma genera solo token firmati in HMAC — HS256, HS384 o HS512 — a partire dal tuo JSON di header, JSON di payload e un segreto. La firma RSA ed ECDSA richiede una chiave privata ed è fuori ambito qui; per RS/ES puoi comunque verificare con la chiave pubblica corrispondente in modalità Verifica.
La modalità Decodifica controlla la firma?
No. Decodifica si limita a decodificare in base64url e a mostrare in modo formattato l'header e il payload — non valida mai la firma. Passa alla modalità Verifica e fornisci un segreto o una chiave pubblica per confermare che un token sia autentico, e non fidarti mai di un payload decodificato finché la sua firma non è verificata.
Perché la verifica dice non valido o errore?
'Non valido' significa che la firma non corrisponde al segreto o alla chiave che hai fornito. Un 'errore' indica invece che l'input non è stato elaborato — ad esempio al token manca il segmento di firma, l'alg non è supportato, oppure la chiave pubblica PEM non è stata analizzata. Controlla di aver incollato il token completo e la chiave corretta per il suo algoritmo.

Strumenti correlati

Crittografia di testo AES (AES-GCM + PBKDF2)

Cifra e decifra testo con AES-256-GCM usando una chiave derivata da una passphrase (PBKDF2 SHA-256, sale casuale), interamente nel tuo browser e senza alcun caricamento.

Hash Argon2 e scrypt

Esegui l'hash di una password con Argon2id o scrypt e verifica un hash Argon2 rispetto a una password, interamente nel tuo browser.

Generatore e Verificatore di Hash Bcrypt

Genera un hash di password bcrypt da testo in chiaro con il fattore di costo che scegli, oppure verifica una password rispetto a un hash bcrypt esistente, interamente nel tuo browser.

Generatore di mnemonica BIP39

Genera una frase di recupero BIP39 casuale da 12 a 24 parole in diverse lingue, oppure riconverti una mnemonica esistente nella sua entropia grezza, tutto nel tuo browser.