Pular para o conteúdo
FileTinker
Todas as ferramentas de arquivo

Decodificador de JWT

Cole um JSON Web Token para decodificar instantaneamente o cabeçalho e o payload e ver quando ele expira. É apenas para decodificação e funciona totalmente no seu navegador, então até tokens de produção permanecem privados.

Como decodificar um JWT

  1. Cole seu JWT (a string header.payload.signature).
  2. Leia o cabeçalho e o payload decodificados como JSON formatado.
  3. Confira os horários de expiração e de emissão, exibidos como datas legíveis.

Sobre os JSON Web Tokens

Um JSON Web Token (JWT) reúne três partes codificadas em base64url e separadas por pontos: um cabeçalho (o algoritmo de assinatura e o tipo), um payload (as claims, como o sujeito e a expiração) e uma assinatura. Decodificar as duas primeiras partes revela exatamente o que um token afirma, o que é muito útil ao depurar autenticação e autorização.

Esta ferramenta apenas decodifica — ela não verifica a assinatura, porque a verificação exige o segredo ou a chave pública que assinou o token. Lembre-se de que o payload de um JWT é codificado, não criptografado: qualquer pessoa que tenha o token pode lê-lo, então nunca coloque segredos nas claims. A decodificação acontece localmente aqui, então colar um token real não o expõe a nenhum servidor.

Perguntas frequentes

Isso verifica a assinatura?

Não. Este é um decodificador, não um verificador — ele lê o cabeçalho e o payload, mas não confere a assinatura, o que exigiria o segredo de assinatura ou a chave pública. Nunca confie no conteúdo de um token sem verificá-lo no servidor.

Meu token é enviado para algum lugar?

Não. A decodificação acontece totalmente no seu navegador, então seu JWT nunca é enviado nem registrado — seguro para inspecionar tokens reais e sensíveis.

Um JWT é criptografado?

Não. O cabeçalho e o payload são codificados em base64url, não criptografados, então qualquer pessoa com o token pode lê-los. A assinatura apenas prova que o token não foi adulterado; ela não esconde o conteúdo.

O que significam exp e iat?

São claims de tempo padrão: iat é quando o token foi emitido e exp é quando ele expira, ambos como timestamps Unix. Esta ferramenta os exibe como datas legíveis e indica se o token já expirou.