Decodifica JWT
Incolla un token JWT: header e payload vengono decodificati e formattati, con le date di emissione e scadenza in formato leggibile e l'avviso se il token è scaduto.
Com'è fatto un token JWT
Un JSON Web Token è composto da tre parti separate da un punto: l'header
(l'algoritmo di firma, ad esempio HS256 o RS256), il payload (i «claim»: chi
sei, quando è stato emesso il token, quando scade) e la firma. Le prime due
parti sono semplicemente Base64URL, non sono cifrate: chiunque riceva il token può leggerle,
ed è esattamente ciò che fa questo strumento. I claim temporali iat (emesso il),
exp (scade il) e nbf (non valido prima del) sono timestamp Unix in
secondi: qui vengono tradotti in date leggibili nel tuo fuso orario.
Attenzione: questo strumento non verifica la firma
Decodificare non significa validare: per verificare la firma servirebbe la chiave segreta o la chiave pubblica di chi ha emesso il token, che questo strumento non ha e non chiede. Un token decodificabile può quindi essere comunque falso o manomesso: la verifica va sempre fatta lato server. E una raccomandazione importante: non incollare token di produzione sensibili (sessioni attive, chiavi API): anche se qui nulla lascia il browser, un token valido incollato in giro è come una password scritta su un post-it. Usa token di test o già scaduti.