Decodifique JSON Web Tokens e verifique suas assinaturas (HS256, RS256, ES256, EdDSA) inteiramente no seu navegador usando a Web Crypto API.

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

Como funciona

Cole um JSON Web Token na entrada — a ferramenta o divide instantaneamente nas três partes codificadas em Base64URL (cabeçalho, payload, assinatura), decodifica as duas primeiras para JSON e as exibe formatadas. Claims padrão como iat, nbf, exp, iss, sub e aud são exibidos como datas ou rótulos legíveis para que você identifique tokens expirados ou ainda não válidos de imediato. Para verificar a assinatura, cole o segredo de assinatura (para HS256/HS384/HS512) ou a chave pública em formato PEM ou JWK (para RS256, ES256, ES384, ES512 ou EdDSA). A ferramenta usa a Web Crypto API para recalcular a assinatura sobre header.payload e compará-la com o segmento de assinatura em tempo constante — um badge verde significa que o token é autêntico, um vermelho significa que a assinatura é inválida ou a chave errada foi usada. Tudo roda localmente: token, segredo e chave nunca saem do seu navegador, por isso a maioria das ferramentas JWT online se recusa a verificar assinaturas.

Casos de uso

Depurar bugs de autenticação em um app web ou mobile inspecionando exatamente quais claims um token contém

Verificar que um token expirado ou adulterado é corretamente rejeitado pela sua lógica de autorização

Conferir se seu provedor de identidade assina tokens com a chave e algoritmo certos

Ensinar estrutura JWT, claims e erros comuns (alg none, key confusion, exp ausente) com um exemplo real

Triagem rápida de um incidente em produção onde um token está sendo rejeitado por um serviço downstream