Decodificador JWT
Decodifique e inspecione JSON Web Tokens (JWT) para visualizar o algoritmo do cabeçalho, claims do payload e tempos de expiração. Essencial para depurar fluxos de autenticação OAuth 2.0, OpenID Connect e API. Esta ferramenta apenas decodifica — nenhuma verificação de assinatura é realizada. Todo o processamento acontece no seu navegador para segurança completa.
Decodificador JWT
Cole um JSON Web Token para decodificar seu cabeçalho e payload. Nenhuma verificação de assinatura é realizada.
Como Funciona
Um JSON Web Token consiste em três partes separadas por pontos: header.payload.signature. O cabeçalho especifica o algoritmo de assinatura (ex: HS256, RS256). O payload contém claims — pares chave-valor com informações como ID do usuário (sub), tempo de expiração (exp), emissor (iss) e dados personalizados.
Tanto o cabeçalho quanto o payload são objetos JSON codificados em Base64URL. Este decodificador extrai e analisa essas partes, convertendo Base64URL de volta para JSON legível. A assinatura (terceira parte) é usada para verificação, mas não é validada por esta ferramenta.
Claims JWT Comuns
| Claim | Nome | Descrição |
|---|---|---|
| iss | Emissor | Quem emitiu o token |
| sub | Assunto | A quem o token se refere (geralmente ID do usuário) |
| aud | Audiência | Destinatário pretendido do token |
| exp | Expiração | Timestamp Unix quando o token expira |
| iat | Emitido Em | Timestamp Unix quando o token foi emitido |
| nbf | Não Antes | Token não é válido antes deste momento |
Casos de Uso Comuns
- Depuração de autenticação: Inspecione o conteúdo do token para solucionar problemas de login, sessões expiradas ou permissões ausentes.
- Desenvolvimento de API: Verifique se seu servidor de autenticação inclui os claims corretos nos tokens emitidos.
- Auditoria de segurança: Verifique quais dados estão expostos em JWTs (lembre-se, o payload não é criptografado, apenas assinado).
- Aprendizado de OAuth 2.0: Entenda a estrutura e o conteúdo dos tokens usados em fluxos OAuth e OpenID Connect.
Perguntas Frequentes
O que é um JWT?
Um formato de token compacto e seguro para URLs, definido na RFC 7519, usado para transmitir claims com segurança entre partes, comumente usado para autenticação e autorização em aplicações web.
É seguro decodificar JWTs no navegador?
Sim. Payloads JWT não são criptografados — são apenas codificados em Base64. Qualquer pessoa com o token pode ler o payload. A assinatura previne adulteração, mas não esconde o conteúdo.
Esta ferramenta verifica a assinatura?
Não. Esta ferramenta apenas decodifica o cabeçalho e o payload para inspeção. A verificação de assinatura requer a chave secreta ou chave pública, que nunca devem ser compartilhadas em uma ferramenta de navegador.
O que é codificação Base64URL?
Uma variante do Base64 que usa - em vez de + e _ em vez de /, e omite o preenchimento (=). Isso torna a string codificada segura para uso em URLs e cabeçalhos HTTP.
Ferramentas Relacionadas
Conversor de Texto Base64
Codifique texto em Base64 ou decodifique Base64 de volta para texto legível.
Codificador e Decodificador de URL
Codifique e decodifique componentes de URL com segurança.
Codificador de Entidades HTML
Escape e unescape de caracteres especiais HTML.
Gerador de Hash
Gere hashes MD5, SHA-1, SHA-256 e SHA-512.