Decodificador JWT - Decodifique e verifique JWTs no seu navegador

// decodifique JWTs sem enviar dados para um servidor

Apenas no cliente — seus dados nunca saem do navegador
Entrada do Token
Solte o arquivo JWT ou texto aqui

Como decodificar tokens JWT

1

Cole seu token JWT

Copie seu JSON Web Token e cole no campo de entrada. O decodificador JWT analisa e decodifica automaticamente o token codificado em Base64URL instantaneamente.

2

Visualize as claims decodificadas

Inspecione o cabeçalho e payload JWT decodificados. Visualize claims como iss, sub, exp e iat em formato JSON ou tabela com timestamps legíveis.

3

Verifique a assinatura JWT

Digite sua chave secreta ou chave pública para verificar a assinatura do token. Suporta algoritmos HS256, HS384, HS512 (HMAC) para validação de assinatura.

O que é um JSON Web Token (JWT)?

cabeçalho . payload . assinatura

Um JSON Web Token (JWT) é um padrão aberto (RFC 7519) para transmitir informações de forma segura entre partes como um objeto JSON compacto e seguro para URL. JWTs são comumente usados para autenticação, autorização e troca de informações em aplicações web modernas, APIs e sistemas de login único (SSO).

cabeçalho

Contém o tipo de token e algoritmo de assinatura (ex: HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

payload

Contém claims: registradas (iss, exp, sub), públicas e privadas.

{"sub": "user123", "exp": 1699999999}

assinatura

Assinatura criptográfica que verifica que o token não foi adulterado.

HMACSHA256(base64(header).base64(payload), secret)

Casos de uso comuns de JWT

Autenticação de API

JWTs são o padrão para proteger APIs REST. Após o login, o servidor emite um JWT que o cliente inclui no cabeçalho Authorization: Bearer para requisições subsequentes.

Login Único (SSO)

JWTs permitem autenticação perfeita em múltiplas aplicações. Um único login gera um token que funciona em todos os serviços conectados da sua organização.

Troca de Informações

Transmita dados de forma segura entre partes. A assinatura garante a identidade do remetente e que a mensagem não foi alterada em trânsito.

Autenticação de Apps Mobile

Autenticação sem estado ideal para apps mobile. Não são necessárias sessões do lado do servidor—o JWT contém todas as informações necessárias do usuário.

Perguntas Frequentes

Este decodificador JWT é seguro para usar com tokens de produção?

Sim, este decodificador JWT é completamente seguro. Toda a decodificação e verificação acontece inteiramente no seu navegador usando JavaScript. Seus tokens e chaves secretas nunca são enviados para nenhum servidor. Você pode verificar isso checando as requisições de rede nas ferramentas de desenvolvedor do seu navegador—nenhum dado sai do seu dispositivo.

Qual é a diferença entre decodificar e verificar um JWT?

Decodificar simplesmente converte o cabeçalho e payload codificados em Base64URL de volta para JSON legível. Qualquer pessoa pode decodificar um JWT sem uma chave. Verificar checa a assinatura criptográfica para garantir que o token não foi adulterado e foi emitido por uma fonte confiável. A verificação requer a chave secreta (para HMAC) ou chave pública (para RSA/ECDSA).

Quais algoritmos de assinatura JWT são suportados?

Esta ferramenta pode decodificar JWTs assinados com qualquer algoritmo. Para verificação de assinatura, atualmente suportamos algoritmos HMAC (HS256, HS384, HS512) usando a Web Crypto API. Suporte para verificação RSA (RS256, RS384, RS512) e ECDSA (ES256, ES384, ES512) está planejado.

Por que a verificação de assinatura do meu JWT falha?

Razões comuns incluem: 1) Chave secreta errada—certifique-se de que está usando exatamente a mesma chave que assinou o token. 2) Formato errado—tente alternar entre UTF-8 e Base64 se seu segredo está codificado em Base64. 3) Incompatibilidade de algoritmo—verifique se a claim alg no cabeçalho corresponde ao seu método de verificação. 4) Token foi modificado—qualquer alteração no cabeçalho ou payload invalida a assinatura.

O que significam as claims padrão do JWT?

Claims registradas definidas na RFC 7519:

  • iss (emissor) – Quem emitiu o token
  • sub (assunto) – O usuário ou entidade que o token representa
  • aud (audiência) – Destinatário pretendido do token
  • exp (expiração) – Timestamp Unix de quando o token expira
  • nbf (não antes) – Token não é válido antes deste momento
  • iat (emitido em) – Quando o token foi criado
  • jti (ID JWT) – Identificador único do token