Decodificador de JWT — Leia Qualquer Token na Hora
Este decodificador de JWT permite colar qualquer JSON Web Token e ler na hora o header, o payload e a assinatura, tudo no seu navegador. Foi feito para desenvolvedores que depuram autenticação, autorização de API ou fluxos de single sign-on e precisam ver exatamente o que um token contém.
Um JWT tem três partes separadas por pontos: o Header (tipo do token e algoritmo de assinatura), o Payload (as claims — ID do usuário, e-mail, papéis, expiração e mais) e a Assinatura (usada para verificar que o token não foi adulterado). O decodificador separa e formata as três partes no instante em que você digita, com explicação das claims e timestamps legíveis para poupar suas consultas.
Como Decodificar um JWT
Cole seu token
Coloque seu JWT no campo Token Codificado. Ele é decodificado automaticamente enquanto você digita — sem botão para apertar. Clique em Exemplo para carregar um token de demonstração se você só quiser ver como funciona.
Leia as partes decodificadas
O Header e o Payload aparecem como JSON formatado com destaque de sintaxe, cada um em seu próprio painel colorido. A Assinatura é mostrada como sua string Base64URL bruta.
Confira o status
A barra de status mostra o algoritmo de assinatura e o tipo do token, além de indicar se o token está Válido, Expirado, Ainda Não Válido ou Sem Expiração, com um tempo relativo como "Expira em 2 horas".
Explore e copie
Passe o mouse sobre qualquer nome de claim reconhecida — como iss, sub ou exp — para ver o que significa. Use os botões de cópia para pegar o header, o payload ou a assinatura separadamente.
Recursos
Decodificação em Tempo Real
O token é interpretado na hora enquanto você cola ou digita — os resultados se atualizam ao vivo, sem botão para apertar.
Painéis Coloridos
Header, Payload e Assinatura ganham cada um seu próprio painel com cor distinta, então as três partes são fáceis de distinguir num relance.
Destaque de Sintaxe JSON
Chaves, strings, números, booleanos e nulos recebem destaque colorido no header e no payload decodificados para uma leitura fácil.
Claims Explicadas ao Passar o Mouse
Claims padrão da especificação JWT, do OpenID Connect e do OAuth 2.0 — como iss, sub, aud, exp, iat, nbf e jti — mostram uma breve descrição ao passar o mouse.
Timestamps Legíveis
Timestamps Unix como exp, iat e nbf são anotados inline com uma data legível, então você nunca precisa convertê-los à mão.
Status de Expiração
Um selo claro marca o token como Válido, Expirado, Ainda Não Válido ou Sem Expiração, com uma contagem regressiva em tempo relativo.
Exibição de Algoritmo e Tipo
O algoritmo de assinatura (HS256, RS256, ES256 e mais) e o tipo do token são lidos diretamente do header e exibidos na barra de status.
Cópia com Um Clique
Copie o header, o payload decodificados ou a assinatura separadamente com um único clique.
Token de Exemplo
Carregue um token de demonstração pronto para ver o decodificador em ação antes de colar o seu.
Totalmente no Navegador
Cada token é decodificado localmente no seu navegador — nada é enviado a um servidor, salvo ou rastreado.
Perguntas Frequentes
É seguro decodificar um JWT online aqui?
Sim. Este decodificador roda inteiramente no seu navegador — seu token nunca é enviado a nenhum servidor, armazenado ou registrado. Você pode confirmar abrindo a aba de rede do navegador: nenhuma requisição é feita ao colar um token.
Decodificar um JWT verifica a assinatura?
Não. Esta é uma ferramenta de decodificação, não de verificação. Ela lê e exibe o conteúdo do token, mas não confere a assinatura criptográfica. Para verificar uma assinatura você precisa do segredo de assinatura (para HMAC) ou da chave pública (para RSA/ECDSA).
Posso decodificar um JWT sem a chave secreta?
Sim. A decodificação só lê o header e o payload, que são Base64URL puro — nenhuma chave é necessária. Um segredo ou chave pública só é preciso para verificar um token, não para ler o que há dentro dele.
O payload do JWT é criptografado ou só Base64?
Um JWT assinado padrão não é criptografado — o header e o payload são apenas codificados em Base64URL, então qualquer pessoa pode lê-los. A assinatura só prova que o token não foi alterado. Nunca coloque segredos no payload de um JWT, a não ser que você esteja usando tokens JWE criptografados.
Quais são as três partes de um JWT?
Um JWT são três strings Base64URL unidas por pontos: o Header (tipo do token e algoritmo de assinatura), o Payload (as claims sobre o usuário e o token) e a Assinatura (um hash usado para detectar adulteração). O decodificador mostra cada parte em seu próprio painel.
Como leio a claim de expiração (exp)?
A claim exp é um timestamp Unix. O decodificador a anota inline com uma data legível e mostra um selo Expirado, Válido ou Ainda Não Válido com um tempo relativo, então você reconhece o status de um token num relance, sem converter o número por conta própria.
Quais algoritmos de assinatura são suportados?
A decodificação funciona com qualquer JWT, independentemente do algoritmo — HS256/384/512, RS256/384/512, ES256/384/512, PS256 e outros. O algoritmo é lido do header e mostrado na barra de status depois que o token é decodificado.
Ainda não há comentários. Seja o primeiro a comentar!