Decodificador de JWT (JSON Web Token) online
Cole um JWT para ver o cabeçalho e o payload decodificados, além da validade (exp). A decodificação é local, nada é enviado a servidores.
Para que serve
O decodificador JWT lê um JSON Web Token e mostra o header e o payload de forma legível. Cole o token e veja as três partes separadas por ponto serem decodificadas na hora.
Cada parte do JWT é codificada em Base64URL. A ferramenta decodifica essas partes e exibe as claims do payload, como exp, iat e sub, em JSON formatado.
Apenas decodifica, não valida
Este é o ponto crítico: a ferramenta apenas DECODIFICA o token, ela NÃO valida a assinatura nem confirma se o token é autêntico ou confiável. Ver as claims não significa que o token é válido.
A verificação da assinatura precisa da chave secreta ou pública e deve ser feita no backend. Nunca confie em um JWT só porque conseguiu lê-lo aqui, qualquer um pode forjar um token decodificável.
Claims comuns
- exp: data de expiração do token, em timestamp.
- iat: momento em que o token foi emitido.
- sub: identificador do sujeito (geralmente o usuário).
- iss e aud: emissor e público-alvo do token.
Privacidade
A decodificação acontece localmente no seu navegador, nada é enviado para servidores. Você pode depurar tokens de desenvolvimento com segurança, sem expor o conteúdo deles.
Perguntas frequentes
- A ferramenta valida a assinatura do token?
- Não. Ela apenas decodifica o header e o payload. A validação da assinatura precisa da chave e deve ser feita no servidor.
- Se eu consigo ler as claims, o token é confiável?
- Não. Decodificar é diferente de validar. Qualquer um pode criar um token decodificável; só a verificação da assinatura prova autenticidade.
- O token é enviado para algum servidor?
- Não. A decodificação ocorre inteiramente no seu navegador.