Decodificador JWT
Insira e examine os Token Web JSON (JWT) para compreender seus conteúdos. Decodifique qualquer JWT em suas três partes constituintes: cabeçalho (algoritmo e tipo do token), carga útil (claims e dados) e assinatura. Visualize timestamps no formato legível por humanos e verifique a estrutura do token. Útil para depurar fluxos de autenticação, compreender tokens de API e validar claims JWT durante o desenvolvimento.
O que esta ferramenta faz?
O Decodificador JWT analisa e exibe o conteúdo dos Token Web JSON sem verificar a assinatura (o que exige a chave pública do emissor). Divide os três componentes codificados em base64url separados por pontos, decodifica cada um para JSON e os apresenta em um formato legível. Claims JWT padrão (expiração, emitido em, não válido antes) são destacados com timestamps legíveis por humanos. A ferramenta valida a estrutura do JWT e relava tokens malformados com informações de erro específicas.
Como funciona
Um JWT consiste em três partes separadas por pontos: cabeçalho.carga útil.assinatura. Cada parte está codificada em base64url (base64 seguro para URL). A ferramenta separa pelos pontos, decodifica cada parte usando decodificação base64url (convertendo - para +, _ para /, adicionando preenchimento) e analisa como JSON. O cabeçalho normalmente contém alg (algoritmo) e typ (tipo). A carga útil contém claims como sub (sujeito), iss (emissor), exp (expiração), iat (emitido em). A assinatura é exibida como base64 sem verificação. Timestamps são convertidos para exibição local e UTC.
Recursos
- Decodifica seções de cabeçalho, carga útil e assinatura
- Formata JSON decodificado de maneira legível
- Destaca exp (expiração), iat (emitido em), nbf (não válido antes) com horários legíveis por humanos
- Detecta JWTs malformados com mensagens de erro úteis
- 100% no lado do cliente — seu token nunca sai do navegador
- Valida a estrutura padrão do JWT
- Copia seções decodificadas individualmente
Como usar
- 1
Cole seu JWT
Insira um token (formato: eyJ...xxxxx.yyyyy.zzzzz). Três partes separadas por pontos. A maioria dos JWTs começa com 'eyJ' em base64url.
- 2
Revise as seções decodificadas
O cabeçalho mostra o algoritmo (HS256, RS256, etc.) e o tipo. A carga útil mostra todos os claims e dados. A assinatura é exibida como base64.
- 3
Verifique os timestamps
exp (expiração), iat (emitido em), nbf (não válido antes) são mostrados tanto como timestamps Unix quanto datas legíveis por humanos com tempo relativo.
- 4
Valide a estrutura
Se o JWT estiver malformado, você verá um erro específico indicando qual parte falhou na decodificação ou análise.
Casos de uso comuns
Depure problemas de autenticação
Inspeione JWTs de fluxos OAuth, sistemas SSO ou autenticação personalizada para verificar claims, checar expiração e depurar falhas de validação de tokens.
Desenvolvimento de API
Decodifique tokens que sua API recebe para compreender sua estrutura, verificar os claims que você está analisando e depurar lógica de autorização.
Aprenda a estrutura do JWT
Examine JWTs reais para compreender como são construídos, como os claims padrão se apresentam e como diferentes algoritmos são especificados.
Monitoramento de expiração de tokens
Verifique rapidamente quando um token expira sem escrever código, útil para testes manuais de API com tokens que têm vidas limitadas.
Dicas e boas práticas
- Esta ferramenta apenas decodifica — não verifica assinaturas. Qualquer pessoa pode criar um JWT com qualquer carga útil. Para segurança, sua aplicação deve verificar a assinatura usando a chave pública do emissor
- exp (expiração) está em segundos Unix. Se exp estiver no passado, o token expirou e deve ser rejeitado
- Algoritmos comuns: HS256 (HMAC com SHA-256, simétrico), RS256 (assinatura RSA, assimétrico), ES256 (assinatura ECDSA)
- Nunca confie no conteúdo de um JWT não verificado para decisões de segurança — sempre verifique criptograficamente a assinatura