Decodificador de JWT

Decodifique e inspecione tokens JWT instantaneamente. Visualize header, payload e status de expiração. 100% no navegador, seus tokens ficam seguros.

Cole um token JWT acima para decodificá-lo.

Referência

JSON Web Tokens (JWT)

Um JWT (JSON Web Token) é um formato de token compacto e seguro para URLs definido em RFC 7519. Consiste em três partes codificadas em base64url separadas por pontos: header.payload.signature. Os JWTs são amplamente usados para autenticação e troca de informações.

Estrutura

Cabeçalho (Header) — um objeto JSON com o tipo de token (typ) e o algoritmo de assinatura (alg), ex. HS256 ou RS256. Carga útil (Payload) — um objeto JSON com claims: claims registrados como iss (emissor), sub (sujeito), exp (expiração), iat (emitido em); e claims personalizados. Assinatura (Signature) — o resultado de assinar o cabeçalho e payload codificados com uma chave secreta ou privada. Garante que o token não foi adulterado.

⚠ Nota de segurança

Decodificar não é o mesmo que verificar. Esta ferramenta decodifica o token e exibe seu conteúdo, mas não verifica a assinatura. Qualquer pessoa pode criar um JWT com claims arbitrários. Nunca confie nos claims de um JWT sem verificar a assinatura no servidor usando a chave secreta ou pública apropriada. Use uma biblioteca como jsonwebtoken (Node.js) ou PyJWT (Python) em produção.

Claims JWT registrados

RFC 7519 define sete claims registrados: iss (issuer) — quem criou o token. sub (subject) — o usuário ou entidade que o token representa. aud (audience) — o(s) destinatário(s) pretendido(s). exp (expiration time) — timestamp Unix após o qual o token é inválido. nbf (not before) — o token não é válido antes deste momento. iat (issued at) — quando o token foi criado. jti (JWT ID) — um identificador único para prevenir ataques de replay.

Privacidade

Toda a decodificação roda 100% no seu navegador. Nenhum dado é enviado a nenhum servidor.

← Voltar para todas as ferramentas