Decodificador JWT

Analisa JSON Web Tokens nos seus três componentes — cabeçalho (header), carga útil (payload) e assinatura (signature) — para inspecionar reivindicações e metadados sem necessidade de um serviço backend. Faz a decodificação Base64url, formata o JSON e exibe carimbos de data/hora legíveis para reivindicações temporais padrão (iat, exp, nbf).

Para que é usado?

Depuração de API: inspecionar tokens de acesso de fluxos OAuth 2.0 / OpenID Connect para verificar reivindicações, escopos e expiração
Resolução de problemas de autenticação: verificar se um token está expirado, emitido pelo provedor correto (iss) ou direcionado ao público correto (aud)
Aprendizado da estrutura JWT: entender como os JWTs são compostos com uma decomposição visual de cada parte
CI/CD e DevOps: verificar tokens gerados em pipelines antes de implantar em produção

Guia passo a passo

Cole seu token JWT no campo de entrada (o prefixo Bearer é removido automaticamente)
O cabeçalho, a carga útil e a assinatura são decodificados instantaneamente
Revise as reivindicações analisadas na seção de carga útil
Verifique o estado de expiração mostrado com um emblema e tempo relativo
Copie seções individuais ou a saída decodificada completa

Como funciona

Um JWT consiste em três segmentos codificados em Base64url separados por pontos. Esta ferramenta divide o token, decodifica cada segmento usando o alfabeto Base64url padrão e analisa o JSON resultante. Todo o processamento acontece inteiramente no seu navegador — nenhum dado é enviado a qualquer servidor. A ferramenta remove automaticamente prefixos Bearer e mostra o estado de expiração em tempo real. Nota: esta ferramenta decodifica tokens, mas não verifica assinaturas. A verificação de assinatura requer a chave secreta ou pública, que nunca deve ser inserida em uma ferramenta web.

Dicas e melhores práticas

Você pode colar o valor completo do cabeçalho Authorization — o prefixo Bearer é removido automaticamente
Reivindicações temporais (iat, exp, nbf) são exibidas como carimbos de data/hora UNIX e datas legíveis
Use esta ferramenta junto com o conversor de Data para Carimbo de Data/Hora para criar valores de teste para reivindicações JWT
Nunca cole chaves secretas de produção em qualquer ferramenta web — cole apenas o token em si

Perguntas frequentes

É seguro colar meu JWT aqui?

Sim. Tudo é executado 100% no lado do cliente no seu navegador. Nenhum token é enviado a qualquer servidor, armazenado ou registrado. Você pode verificar isso consultando a aba Rede nas ferramentas de desenvolvedor do seu navegador.

Qual é a diferença entre decodificar e verificar um JWT?

Decodificar simplesmente lê o cabeçalho e a carga útil através da decodificação Base64url — qualquer pessoa pode fazer isso. Verificar checa a assinatura contra um segredo (HMAC) ou chave pública (RSA/EC) para confirmar que o token não foi adulterado. Esta ferramenta apenas decodifica.

Quais são as reivindicações JWT padrão?

As reivindicações registradas definidas na RFC 7519 são: iss (emissor), sub (assunto), aud (audiência), exp (expiração), nbf (não antes de), iat (emitido em) e jti (ID do JWT). As aplicações podem adicionar quaisquer reivindicações personalizadas que necessitem.

Posso decodificar tokens expirados?

Sim. Tokens expirados são decodificados normalmente — a ferramenta mostra um emblema de Expirado e indica quando o token expirou com um indicador de tempo relativo.

Privacidade e Segurança

Esta ferramenta utiliza FFmpeg compilado para WebAssembly (WASM). O binário WASM (~25MB) é baixado de um CDN no primeiro uso e armazenado em cache pelo seu navegador. Todo o processamento de arquivos acontece localmente no seu dispositivo - seus arquivos nunca são enviados para nenhum servidor. Isso torna a ferramenta segura para arquivos de mídia sensíveis, privados ou confidenciais. Arquivos grandes podem demorar mais para processar dependendo da CPU e da memória disponível no seu dispositivo.

Decodificador JWT

Header

Payload

Signature