Decodificador de JWT (JSON Web Token) online

Cole um JWT para ver o cabeçalho e o payload decodificados, além da validade (exp). A decodificação é local, nada é enviado a servidores.

Para que serve

O decodificador JWT lê um JSON Web Token e mostra o header e o payload de forma legível. Cole o token e veja as três partes separadas por ponto serem decodificadas na hora.

Cada parte do JWT é codificada em Base64URL. A ferramenta decodifica essas partes e exibe as claims do payload, como exp, iat e sub, em JSON formatado.

Apenas decodifica, não valida

Este é o ponto crítico: a ferramenta apenas DECODIFICA o token, ela NÃO valida a assinatura nem confirma se o token é autêntico ou confiável. Ver as claims não significa que o token é válido.

A verificação da assinatura precisa da chave secreta ou pública e deve ser feita no backend. Nunca confie em um JWT só porque conseguiu lê-lo aqui, qualquer um pode forjar um token decodificável.

Claims comuns

  • exp: data de expiração do token, em timestamp.
  • iat: momento em que o token foi emitido.
  • sub: identificador do sujeito (geralmente o usuário).
  • iss e aud: emissor e público-alvo do token.

Privacidade

A decodificação acontece localmente no seu navegador, nada é enviado para servidores. Você pode depurar tokens de desenvolvimento com segurança, sem expor o conteúdo deles.

Perguntas frequentes

A ferramenta valida a assinatura do token?
Não. Ela apenas decodifica o header e o payload. A validação da assinatura precisa da chave e deve ser feita no servidor.
Se eu consigo ler as claims, o token é confiável?
Não. Decodificar é diferente de validar. Qualquer um pode criar um token decodificável; só a verificação da assinatura prova autenticidade.
O token é enviado para algum servidor?
Não. A decodificação ocorre inteiramente no seu navegador.