Non avviene alcun trattamento dei contenuti dei tuoi file. Non ti serve un accordo sul trattamento dei dati con gottrix per gestire documenti riservati o aziendali.
Server in GermaniaRGPD by design
Server di origine presso Hetzner in Germania. Poiche i tuoi file non lasciano il dispositivo, i loro contenuti non vengono affatto trasmessi.
Un JSON Web Token (JWT, RFC 7519) è un token compatto composto da tre parti separate da punti: header, payload e firma. Header e payload sono semplicemente JSON codificato in Base64URL (RFC 7515): non un segreto, ma solo una notazione sicura per il trasporto. Questo strumento separa le parti, decodifica header e payload e mostra il JSON contenuto con un'indentazione pulita. A colpo d'occhio vedi quale algoritmo è dichiarato e quali dati (claim) trasporta il token.
Importante e onesto: questo strumento si limita a decodificare, non verifica la firma. Una verifica reale richiede il segreto o la chiave pubblica dell'emittente, che questo strumento di proposito non chiede mai. Un token decodificato quindi non è ancora un token affidabile: il suo contenuto potrebbe essere stato manomesso. Usa questa vista per capire e fare debug (quali claim, quando scade exp, quale iss), mai come prova di autenticità.
Tutta l'elaborazione avviene interamente in locale nel browser, in puro JavaScript: il token non viene caricato, non viene salvato e nessuna libreria esterna viene scaricata da un CDN. Questo è decisivo proprio con i token, perché un token di accesso o di identità non deve finire in un modulo online altrui. Se ciò che incolli non è un JWT valido, lo strumento lo segnala con onestà invece di inventare un risultato sbagliato.
Scheda tecnica
Scheda tecnica
Formati di input
Inserimento testo
Formato di output
JSON
Elaborazione in batch
No
Elaborazione
In locale nel browser (JavaScript)
Caricamento file
Nessuno
In 3 passaggi
Incolla il JWT nel campo di testo.
Fai clic su Decodifica.
Leggi o scarica header e payload come JSON.
Limiti:Decodifica pura, senza verifica della firma: lo strumento NON conferma che un token sia autentico o integro, servirebbe la chiave dell'emittente. Non controlla nemmeno se il token è scaduto; mostra solo i claim. I token cifrati (JWE) non vengono decifrati. Header e payload sono solo Base64URL, non cifratura, quindi non mettere mai segreti nel payload.
Domande frequenti
Il mio token viene caricato?
No. La decodifica viene eseguita interamente in locale nel browser; il token non lascia mai il tuo dispositivo e non viene salvato.
Lo strumento verifica la firma?
No. Decodifica solo header e payload. Verificare la firma richiede la chiave dell'emittente, che questo strumento di proposito non chiede mai. Un token decodificato non è un token affidabile.
Un JWT è cifrato?
Di solito no. Header e payload sono solo codificati in Base64URL, che chiunque può rileggere. Per questo non mettere segreti nel payload.
Cosa significano claim come exp, iat o iss?
Claim standard: iss è l'emittente, iat il momento di emissione, exp la scadenza (in tempo Unix), sub il soggetto. Lo strumento li mostra così come sono; non li valuta.
Cosa succede con un input non valido?
Se ciò che incolli non è un JWT valido (numero di parti errato o Base64URL danneggiato), lo strumento segnala un errore onesto invece di produrre un risultato sbagliato.
Solo con il tuo consenso misuriamo l'utilizzo in forma anonimizzata tramite cookie per migliorare gottrix. I tuoi file restano sempre in locale, sul tuo dispositivo. Privacy