Decodificatore JWT Lite

JWT (JSON Web Token) è un formato compatto e URL-safe per rappresentare claim tra due parti. Consiste di tre parti separate da punti: header.payload.signature. L'header specifica l'algoritmo; il payload contiene i claim (dati); la firma verifica l'integrità.

I JWT standard (JWS) sono firmati ma non crittografati — il payload è codificato in Base64URL e chiunque può decodificarlo. Non inserire mai dati sensibili (password, PII) nei claim JWT. I JWT crittografati (JWE) esistono ma sono meno comuni.

Il claim 'exp' (expiration) è un timestamp Unix che indica quando il token diventa non valido. I token scaduti non devono essere accettati. Le durate tipiche: token di accesso 15-60 min, refresh token 7-30 giorni. Token più brevi sono più sicuri ma richiedono rinnovi più frequenti.