Decodificador JWT
Inspecione o Header e o Payload do seu JSON Web Token instantaneamente e com segurança no navegador.
Importante sobre segurança
• Este decodificador funciona apenas no seu navegador. Nenhum token é enviado para servidores externos.
• Nunca compartilhe tokens JWT que contenham informações sensíveis.
• Tokens JWT podem conter informações pessoais. Use com responsabilidade.
Token JWT
Resultado
Cole um token JWT no campo ao lado para decodificá-lo
Histórico de decodificação
Sobre tokens JWT
O que é JWT?
JWT (JSON Web Token) é um padrão aberto (RFC 7519) que define uma forma compacta e autônoma de transmitir informações com segurança entre partes como um objeto JSON. Essas informações podem ser verificadas e confiáveis porque são assinadas digitalmente.
Estrutura do JWT
Um JWT consiste em três partes separadas por pontos (.):
- Header: contém o tipo de token e o algoritmo de assinatura (ex: HS256, RS256).
- Payload: contém as claims, que são as declarações sobre uma entidade (normalmente o usuário) e metadados adicionais.
- Signature: é usada para verificar se o remetente do JWT é quem diz ser e para garantir que a mensagem não foi alterada no caminho.
Reclamações padrão (standard claims)
| Claim | Descrição |
|---|---|
| iss | Emissor (Issuer) - identifica quem emitiu o token. |
| sub | Assunto (Subject) - identifica o assunto do token, normalmente o usuário. |
| aud | Audiência (Audience) - identifica os destinatários para os quais o token foi emitido. |
| exp | Tempo de expiração (Expiration Time) - timestamp após o qual o token não é mais válido. |
| nbf | Não antes de (Not Before) - timestamp antes do qual o token não é válido. |
| iat | Emitido em (Issued At) - timestamp de quando o token foi emitido. |
| jti | ID do JWT (JWT ID) - identificador único para o token. |
Segurança
Importante: este decodificador apenas exibe o conteúdo do token JWT. Ele não verifica a assinatura nem a validade do token.
Tokens JWT podem conter informações sensíveis. Nunca compartilhe tokens com terceiros ou em locais públicos.
Para verificar a assinatura de um JWT, você precisará da chave secreta (para algoritmos HMAC) ou da chave pública (para algoritmos RSA ou ECDSA).
Sobre o Decodificador
Ferramenta essencial para debugar autenticação moderna (OAuth, OIDC).
Perguntas Frequentes
- **Vocês salvam meu token ou verificam a assinatura?** Não. Tudo roda puramente no navegador e apenas decodificamos a string em Base64, não verificando a assinatura criptográfica.
Decodificador JWT Avançado - Ferramenta segura que funciona 100% no seu navegador
Use para desenvolvimento, depuração e aprendizado sobre autenticação JWT.