Copiado com sucesso!

Decodificador JWT (JSON Web Token)

Esta ferramenta permite decodificar e inspecionar tokens JWT (JSON Web Token). Cole seu token e veja o conteúdo do cabeçalho, payload e informações de expiração. Não é necessário estar conectado à internet, pois o processamento ocorre inteiramente no seu navegador.

Cabeçalho (Header)

Payload (Conteúdo)

Assinatura (Signature)

O que é um JWT?

JWT (JSON Web Token) é um padrão aberto (RFC 7519) que define uma maneira compacta e independente de transmitir informações entre partes como um objeto JSON. Essas informações podem ser verificadas e confiáveis porque são assinadas digitalmente.

Um token JWT consiste em três partes separadas por pontos (.)

Cabeçalho (Header): Contém informações sobre como o JWT foi gerado, incluindo o algoritmo de assinatura utilizado.
Payload (Conteúdo): Contém as declarações (claims) que são afirmações sobre uma entidade (tipicamente, o usuário) e dados adicionais.
Assinatura (Signature): Gerada usando o cabeçalho e o payload codificados, com um segredo ou chave pública/privada.

Os JWTs são amplamente utilizados para autenticação, troca de informações seguras e autorização em aplicações web modernas, especialmente em APIs RESTful e microsserviços.

Esta ferramenta processa os dados localmente no seu navegador e não armazena nem transmite nenhuma informação inserida.

Visualização Detalhada

Verificação de Expiração

Processamento Local

Formatação JSON

Campos Comuns em JWTs

Os tokens JWT contêm vários campos padronizados (claims) que definem propriedades como período de validade e emissor.

sub (subject)

Identifica o sujeito do token, geralmente o ID ou nome do usuário

exp (expiration time)

Timestamp Unix que define quando o token expira

iss (issuer)

Identifica o emissor do token, como um servidor de autenticação

iat (issued at)

Timestamp Unix que indica quando o token foi emitido

Perguntas Frequentes

Esta ferramenta é segura para usar com meus tokens JWT?

Sim. Todo o processamento ocorre localmente no seu navegador — nenhum dado é enviado a servidores. O token é decodificado por JavaScript rodando apenas na sua máquina. Por precaução, evite colar tokens de produção válidos em ferramentas online.

O que significa quando o JWT está expirado?

Um token JWT expirado tem o campo exp com um timestamp Unix que já passou. Servidores devem rejeitar tokens expirados. Nossa ferramenta converte o timestamp para data legível e indica se o token está ativo, expirado ou com expiração futura.

O decodificador consegue verificar a assinatura do JWT?

Não. A verificação da assinatura requer o segredo ou chave pública usada para assinar o token. Esta ferramenta decodifica apenas o conteúdo (Base64URL, não criptografado) para inspeção e depuração. A assinatura garante integridade, não confidencialidade.

Quais algoritmos de assinatura os JWTs suportam?

Algoritmos suportados por JWTs:

HMAC: HS256, HS384, HS512 (chave simétrica)
RSA: RS256, RS384, RS512 (chave pública/privada)
ECDSA: ES256, ES384, ES512
RSA-PSS: PS256, PS384, PS512

O algoritmo usado fica no campo alg do header.

Qual a diferença entre JWT, JWS e JWE?

JWT: conceito geral de token JSON.
JWS: JWT assinado — payload visível mas com integridade verificável. É o tipo mais comum.
JWE: JWT criptografado — payload ilegível sem a chave. Esta ferramenta suporta JWS (tokens assinados).

Como os timestamps Unix funcionam nos JWTs?

JWTs usam timestamps Unix (segundos desde 01/01/1970 UTC) para campos de tempo: