Il Debugger JWT decodifica ed ispeziona i JSON Web Token — analizzando header, payload e firma, visualizzando i claim e segnalando lo stato di scadenza. Perfetto per il debug di problemi di autenticazione, l'ispezione di token OAuth/OIDC e la verifica dei contenuti JWT senza eseguire un decodificatore separato o consultare jwt.io.
Il JWT (JSON Web Token) è il formato dominante per i token di autenticazione nelle moderne API — OAuth, OIDC, token di sessione e autenticazione API personalizzata. Ma un JWT sembra un ammasso di caratteri senza senso: tre stringhe codificate in Base64URL unite da punti. Il Debugger JWT analizza quella stringa nelle sue tre parti — header (metadati dell'algoritmo), payload (i claim) e firma — decodifica ciascuna e visualizza il contenuto JSON con evidenziazione sintattica. Il payload viene analizzato alla ricerca di claim noti: iss (issuer), sub (subject), exp (expiry), iat (issued at), nbf (not before), aud (audience), jti (token ID). La scadenza viene convertita dal formato Unix timestamp in forma leggibile e contrassegnata come valida, scaduta o non ancora valida. Lo strumento NON verifica la firma — la verifica della firma richiede la chiave segreta ed è fuori dallo scopo di uno strumento lato client — ma ti mostra esattamente cosa contiene un token per poter eseguire rapidamente il debug dei problemi di autenticazione.
Divide il JWT sui punti e decodifica ogni segmento in Base64URL: header, payload e firma. Ciascuno è mostrato separatamente con evidenziazione sintattica.
Visualizza l'algoritmo (HS256, RS256, ES256) e il tipo di token. Verifica rapidamente quale schema di firma sta utilizzando un servizio.
Analizza il payload JSON e lo renderizza con chiavi, stringhe, numeri e booleani codificati a colori. Tutti i claim sono visibili a colpo d'occhio.
Controlla i timestamp exp (expiry), iat (issued at) e nbf (not before). Segnala se il token è valido, scaduto o non ancora attivo — con visualizzazione degli orari leggibili.
Riconosce i claim registrati (iss, sub, aud, exp, iat, nbf, jti) e fornisce annotazioni di rapido riferimento per il loro significato.
Il token grezzo è mostrato con ogni segmento in un colore distinto in modo da poter distinguere visivamente header, payload e firma.
Quando un'API restituisce un 401 Unauthorized, incolla il token per controllare se è scaduto, malformato o emesso dall'issuer sbagliato.
Decodifica gli access token e gli ID token restituiti dai flussi OAuth/OIDC per vedere gli scope concessi, l'identità dell'utente e la scadenza.
Conferma che i claim richiesti (ruoli, permessi, ID tenant) siano presenti nel token prima di dare per scontato che il backend li accetti.
Quando un token viene generato da un servizio backend, decodificalo per verificare che il payload corrisponda a quanto il servizio intendeva emettere.
Durante una revisione di sicurezza, decodifica i token memorizzati in localStorage o nei cookie per valutare quali dati sensibili vengono esposti lato client.
Clicca sull'icona JWT nel dock di DevSuite Pro. Si aprirà un pannello con un campo di input per il token e tre riquadri decodificati.
Incolla qualsiasi JWT — da una risposta API, intestazione Authorization, cookie o localStorage. Funziona sia includendo che omettendo il prefisso "Bearer ".
Il riquadro Header mostra l'algoritmo e il tipo. Conferma che stia usando lo schema previsto dal tuo backend (spesso HS256 o RS256).
Il riquadro Payload mostra tutti i claim con evidenziazione sintattica. I claim standard (iss, sub, exp) sono contrassegnati con il loro scopo.
Il badge di stato mostra Valido, Scaduto o Non ancora valido. Se è scaduto, il token è probabilmente il motivo per cui l'autenticazione fallisce.
Installa DevSuite Pro gratuitamente e sblocca più di 64 strumenti per sviluppatori per il tuo browser.
