Idioma
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)

Decodifique e inspecione tokens JWT na hora. Veja o header, o payload e a assinatura com explicação das claims e status de expiração, tudo no seu navegador.

Decodificador de JWT — Leia Qualquer Token na Hora

Este decodificador de JWT permite colar qualquer JSON Web Token e ler na hora o header, o payload e a assinatura, tudo no seu navegador. Foi feito para desenvolvedores que depuram autenticação, autorização de API ou fluxos de single sign-on e precisam ver exatamente o que um token contém.

Um JWT tem três partes separadas por pontos: o Header (tipo do token e algoritmo de assinatura), o Payload (as claims — ID do usuário, e-mail, papéis, expiração e mais) e a Assinatura (usada para verificar que o token não foi adulterado). O decodificador separa e formata as três partes no instante em que você digita, com explicação das claims e timestamps legíveis para poupar suas consultas.

Privado por design: a decodificação acontece inteiramente no seu navegador usando a leitura nativa de Base64URL. Seu token nunca é enviado, armazenado ou registrado — abra a aba de rede e você não verá nenhuma requisição ao colar.

Como Decodificar um JWT

1

Cole seu token

Coloque seu JWT no campo Token Codificado. Ele é decodificado automaticamente enquanto você digita — sem botão para apertar. Clique em Exemplo para carregar um token de demonstração se você só quiser ver como funciona.

2

Leia as partes decodificadas

O Header e o Payload aparecem como JSON formatado com destaque de sintaxe, cada um em seu próprio painel colorido. A Assinatura é mostrada como sua string Base64URL bruta.

3

Confira o status

A barra de status mostra o algoritmo de assinatura e o tipo do token, além de indicar se o token está Válido, Expirado, Ainda Não Válido ou Sem Expiração, com um tempo relativo como "Expira em 2 horas".

4

Explore e copie

Passe o mouse sobre qualquer nome de claim reconhecida — como iss, sub ou exp — para ver o que significa. Use os botões de cópia para pegar o header, o payload ou a assinatura separadamente.

Recursos

Decodificação em Tempo Real

O token é interpretado na hora enquanto você cola ou digita — os resultados se atualizam ao vivo, sem botão para apertar.

Painéis Coloridos

Header, Payload e Assinatura ganham cada um seu próprio painel com cor distinta, então as três partes são fáceis de distinguir num relance.

Destaque de Sintaxe JSON

Chaves, strings, números, booleanos e nulos recebem destaque colorido no header e no payload decodificados para uma leitura fácil.

Claims Explicadas ao Passar o Mouse

Claims padrão da especificação JWT, do OpenID Connect e do OAuth 2.0 — como iss, sub, aud, exp, iat, nbf e jti — mostram uma breve descrição ao passar o mouse.

Timestamps Legíveis

Timestamps Unix como exp, iat e nbf são anotados inline com uma data legível, então você nunca precisa convertê-los à mão.

Status de Expiração

Um selo claro marca o token como Válido, Expirado, Ainda Não Válido ou Sem Expiração, com uma contagem regressiva em tempo relativo.

Exibição de Algoritmo e Tipo

O algoritmo de assinatura (HS256, RS256, ES256 e mais) e o tipo do token são lidos diretamente do header e exibidos na barra de status.

Cópia com Um Clique

Copie o header, o payload decodificados ou a assinatura separadamente com um único clique.

Token de Exemplo

Carregue um token de demonstração pronto para ver o decodificador em ação antes de colar o seu.

Totalmente no Navegador

Cada token é decodificado localmente no seu navegador — nada é enviado a um servidor, salvo ou rastreado.

Perguntas Frequentes

É seguro decodificar um JWT online aqui?

Sim. Este decodificador roda inteiramente no seu navegador — seu token nunca é enviado a nenhum servidor, armazenado ou registrado. Você pode confirmar abrindo a aba de rede do navegador: nenhuma requisição é feita ao colar um token.

Decodificar um JWT verifica a assinatura?

Não. Esta é uma ferramenta de decodificação, não de verificação. Ela lê e exibe o conteúdo do token, mas não confere a assinatura criptográfica. Para verificar uma assinatura você precisa do segredo de assinatura (para HMAC) ou da chave pública (para RSA/ECDSA).

Posso decodificar um JWT sem a chave secreta?

Sim. A decodificação só lê o header e o payload, que são Base64URL puro — nenhuma chave é necessária. Um segredo ou chave pública só é preciso para verificar um token, não para ler o que há dentro dele.

O payload do JWT é criptografado ou só Base64?

Um JWT assinado padrão não é criptografado — o header e o payload são apenas codificados em Base64URL, então qualquer pessoa pode lê-los. A assinatura só prova que o token não foi alterado. Nunca coloque segredos no payload de um JWT, a não ser que você esteja usando tokens JWE criptografados.

Quais são as três partes de um JWT?

Um JWT são três strings Base64URL unidas por pontos: o Header (tipo do token e algoritmo de assinatura), o Payload (as claims sobre o usuário e o token) e a Assinatura (um hash usado para detectar adulteração). O decodificador mostra cada parte em seu próprio painel.

Como leio a claim de expiração (exp)?

A claim exp é um timestamp Unix. O decodificador a anota inline com uma data legível e mostra um selo Expirado, Válido ou Ainda Não Válido com um tempo relativo, então você reconhece o status de um token num relance, sem converter o número por conta própria.

Quais algoritmos de assinatura são suportados?

A decodificação funciona com qualquer JWT, independentemente do algoritmo — HS256/384/512, RS256/384/512, ES256/384/512, PS256 e outros. O algoritmo é lido do header e mostrado na barra de status depois que o token é decodificado.

Processado localmente
HEADER
PAYLOAD
SIGNATURE
Cole seu token JWT e ele é decodificado na hora
Passe o mouse sobre os nomes das claims para ver o que significam
Timestamps como exp e iat são convertidos automaticamente em datas legíveis
Clique em Exemplo para carregar um token de demonstração
Seu token é decodificado inteiramente no navegador — nada é enviado a nenhum servidor
Quer saber mais? Leia a documentação →
1/6
Comece a digitar para pesquisar...
Pesquisando...
Nenhum resultado encontrado
Tente pesquisar com palavras-chave diferentes