Decodificador e Verificador JWT
Decodifique JSON Web Tokens e verifique suas assinaturas (HS256, RS256, ES256, EdDSA) inteiramente no seu navegador usando a Web Crypto API.
Como funciona
O decodificador JWT (JSON Web Token) descodifica e mostra o cabeçalho, a carga útil e a assinatura de um token JWT sem verificar a assinatura no lado do servidor.
Como usar:
- Cole o seu token JWT (formato xxxxx.yyyyy.zzzzz) no campo de entrada.
- A ferramenta mostra o cabeçalho e a carga útil decodificados em JSON legível.
- A assinatura é mostrada mas não verificada (requer a chave secreta).
Exemplo: Um token JWT de sessão → mostra o ID do utilizador, papel, data de expiração.
Limitações: A verificação da assinatura não é efetuada — não confie no conteúdo de um JWT sem verificação no servidor. Não descodifique tokens com dados sensíveis em dispositivos não seguros.
Privacidade: A descodificação é completamente local.
Exemplo prático
Cole um JWT do seu fluxo de autenticação e a ferramenta divide-o nos pontos e descodifica cada parte em base64url: o cabeçalho (p. ex. {"alg":"HS256","typ":"JWT"}), o payload com claims como sub, iat e exp, e a assinatura em bruto. Os carimbos temporais aparecem como datas legíveis e o estado de expiração é calculado automaticamente — um token expirado é assinalado de imediato, o que responde à pergunta de depuração mais comum sem abrir um terminal. A descodificação acontece totalmente em local, pelo que um token de produção nunca sai da sua máquina.
Casos de uso
- Depurar bugs de autenticação em um app web ou mobile inspecionando exatamente quais claims um token contém
- Verificar que um token expirado ou adulterado é corretamente rejeitado pela sua lógica de autorização
- Conferir se seu provedor de identidade assina tokens com a chave e algoritmo certos
- Ensinar estrutura JWT, claims e erros comuns (alg none, key confusion, exp ausente) com um exemplo real
- Triagem rápida de um incidente em produção onde um token está sendo rejeitado por um serviço downstream
Perguntas frequentes
- O decodificador verifica a assinatura?
- Não, apenas mostra os dados decodificados. A verificação requer a chave secreta no servidor.
- É perigoso descodificar um JWT?
- Não, os dados estão apenas codificados em Base64, não cifrados. Qualquer pessoa pode lê-los.
- O que contém a carga útil?
- Geralmente o ID do utilizador, papéis, data de expiração e outras afirmações.
- O que é exp na carga útil?
- É a data de expiração do token em timestamp Unix.
- O meu token é enviado a um servidor?
- Não, a descodificação é completamente local.