O que é um Token JWT?

Um JSON Web Token (JWT) é um formato de token compacto e seguro para URL, usado para transmitir informações com segurança entre partes. JWTs são amplamente utilizados em sistemas de autenticação, autorização de APIs e soluções de single sign-on (SSO).

Estrutura do Token: Todo JWT consiste em três partes separadas por pontos (.), formando uma string como: xxxxx.yyyyy.zzzzz

Header

Contém o tipo de token e o algoritmo de assinatura (por exemplo, HS256, RS256)

Payload

Contém os claims: declarações sobre o usuário e metadados adicionais (por exemplo, ID do usuário, email, funções, tempo de expiração)

Assinatura

Usada para verificar se o token não foi alterado

Esta ferramenta permite decodificar e inspecionar qualquer token JWT instantaneamente, direto no seu navegador — com privacidade e segurança completas.

Como Usar o Decodificador JWT

Cole Seu Token

Copie seu token JWT e cole-o no campo de entrada. O token é decodificado automaticamente conforme você digita — sem necessidade de clicar em botões.

Visualize as Partes Decodificadas

O Header e Payload são exibidos como JSON formatado com destaque de sintaxe. A Assinatura é mostrada como uma string Base64URL.

Verifique o Status de Expiração

A barra de status mostra se o token é válido, expirado ou ainda não válido, junto com um indicador de tempo relativo.

Explore os Claims

Passe o mouse sobre qualquer nome de claim reconhecido (como iss, sub, exp) para ver uma breve explicação do que significa.

Copie o Que Você Precisa

Use os botões de cópia em cada painel para copiar o JSON decodificado ou a assinatura para sua área de transferência.

Dica de Início Rápido: Clique no botão Exemplo para carregar um token de demonstração e ver como o decodificador funciona na prática.

Recursos

Decodificação em Tempo Real

O token é decodificado instantaneamente conforme você cola ou digita. Sem necessidade de pressionar um botão — os resultados são atualizados em tempo real.

Painéis com Código de Cores

Cada parte do JWT é exibida em um painel separado com código de cores distinto, facilitando a distinção do Header, Payload e Assinatura à primeira vista.

Inteligência de Claims

Passe o mouse sobre nomes de claims padrão para ver o que significam. O decodificador reconhece claims comuns da especificação JWT, OpenID Connect e OAuth 2.0.

iss, sub, aud — Emissor, Assunto, Audiência
exp, iat, nbf — Expiração, Emitido em, Não antes de
name, email, role — Claims comuns de usuário

Análise Automática de Timestamps

Timestamps Unix no payload (como exp, iat, nbf) são automaticamente anotados com datas legíveis, para que você não precise convertê-los manualmente.

Status de Expiração

A barra de status indica claramente se o token é válido no momento, expirado, ainda não válido ou sem expiração definida, junto com uma exibição de tempo relativo.

Seus Dados Permanecem Privados

Todo o processamento acontece no seu navegador — garantindo privacidade e segurança completas.

Sem requisições ao servidor — Seu token nunca é enviado para nenhum servidor
Sem armazenamento — Nada é salvo ou registrado
Sem rastreamento — Não coletamos dados de uso

100% no Navegador: Você pode verificar isso consultando a aba de rede do seu navegador — nenhuma requisição é feita quando você cola um token.

Perguntas Frequentes

É seguro colar meu token JWT aqui?

Sim, absolutamente. Esta ferramenta processa tudo inteiramente no seu navegador. Seu token nunca é enviado para nenhum servidor, armazenado ou registrado. Você pode verificar isso consultando a aba de rede do seu navegador — nenhuma requisição é feita quando você cola um token.

Processamento 100% no navegador
Sem transmissão de dados para servidores
Sem armazenamento ou registro
Código aberto e verificável

Esta ferramenta pode verificar assinaturas JWT?

Esta ferramenta é um decodificador, não um verificador. Ela decodifica e exibe o conteúdo do token, mas não verifica a assinatura criptográfica. Para verificar uma assinatura, você precisaria do segredo de assinatura ou da chave pública.

Decodificador vs. Verificador: Decodificar lê o conteúdo do token, enquanto verificar confirma a autenticidade do token usando chaves criptográficas.

Quais algoritmos JWT são suportados?

O decodificador funciona com qualquer JWT independentemente do algoritmo de assinatura. O algoritmo é exibido na barra de status após a decodificação.

Os algoritmos suportados incluem:

HMAC: HS256, HS384, HS512
RSA: RS256, RS384, RS512
ECDSA: ES256, ES384, ES512
RSA-PSS: PS256, PS384, PS512

Por que mostra "Expirado" para meu token?

O claim exp (Tempo de Expiração) do token contém um timestamp Unix. Se a hora atual for posterior a esse timestamp, o token é considerado expirado.

Isso é normal: A maioria dos tokens tem uma vida útil limitada por razões de segurança. Tokens expirados devem ser atualizados ou reemitidos pelo servidor de autenticação.

O que são os pontos coloridos ao lado de Header, Payload e Signature?

Os pontos coloridos ajudam você a distinguir visualmente as três partes de um token JWT, seguindo uma convenção comum usada por ferramentas JWT:

Vermelho representa o Header
Roxo representa o Payload
Ciano representa a Assinatura