Sobre o Descodificador de JWT
Cole um JSON Web Token e veja instantaneamente o que está lá dentro: o cabeçalho descodificado com o algoritmo de assinatura, o payload completo com todas as claims e os timestamps registados (iat, exp, nbf) traduzidos em datas legíveis. A ferramenta também lhe diz num relance se o token já expirou ou quanto tempo lhe resta — chega de copiar segundos epoch para um conversor à parte enquanto depura.
Os JWT transportam habitualmente identificadores de sessão, dados do utilizador e âmbitos de API, por isso colar um num site desconhecido é um verdadeiro risco de segurança. Este descodificador processa tudo localmente no seu navegador: o token nunca é transmitido, registado ou armazenado em lado nenhum, o que torna seguro inspecionar tokens reais de produção enquanto depura fluxos de início de sessão, integrações OAuth, erros de expiração e claims mal configuradas. Note que a descodificação apenas lê o token — a assinatura não é verificada.
Funcionalidades
- Cabeçalho e payload descodificados lado a lado
- Claims iat, exp e nbf convertidas em datas legíveis
- Estado de expirado ou válido-até visível num relance
- Trata claims padrão e personalizadas por igual
- Token processado localmente — nunca sai do seu navegador
- Gratuito, instantâneo e sem registo
Como descodificar um JWT online
- Copie o JWT da sua aplicação, resposta de API ou armazenamento do navegador.
- Cole o token completo na caixa de entrada.
- Leia de imediato o cabeçalho e o payload descodificados.
- Verifique as datas iat e exp traduzidas e o estado de expiração.
- Reveja as claims personalizadas para confirmar que o seu fluxo de autenticação as define corretamente.
Perguntas frequentes
É seguro colar aqui um JWT real?
Sim. O token é separado e descodificado de Base64 inteiramente dentro do seu navegador com JavaScript — nenhum pedido o leva a um servidor, e nada é registado ou armazenado. Ainda assim, trate tokens de produção ativos como palavras-passe: esta ferramenta não os divulga, mas evite colá-los em ferramentas que não possam fazer a mesma promessa.
Esta ferramenta verifica a assinatura do JWT?
Não. Descodifica o cabeçalho e o payload para poder ler as claims, mas não verifica a assinatura, porque a verificação exige o segredo ou a chave pública do emissor. Nunca confie no conteúdo de um token para decisões de autorização sem verificar a assinatura no servidor com a chave adequada.
Porque consigo ler um JWT sem a chave secreta?
Porque os JWT são codificados, não encriptados. O cabeçalho e o payload são apenas JSON codificado em Base64Url que qualquer pessoa pode descodificar; o segredo apenas produz a assinatura que prova que o token não foi adulterado. É por isso que dados sensíveis nunca devem ir no payload de um JWT, a menos que o token seja adicionalmente encriptado como JWE.
O que significam iat, exp e nbf?
São claims de timestamp registadas, medidas em segundos epoch Unix: iat é o momento em que o token foi emitido, exp é quando expira e nbf é o instante antes do qual não deve ser aceite. Este descodificador converte as três para a sua data e hora locais e assinala automaticamente os tokens expirados.
Porque é que o meu token não descodifica?
Um JWT válido tem exatamente três secções Base64Url separadas por pontos: cabeçalho, payload e assinatura. A descodificação falha quando o token foi truncado ao copiar, envolvido em aspas ou num prefixo 'Bearer ', ou nem sequer é um JWT. Cole apenas o token em bruto e confirme que ambos os pontos sobreviveram à cópia.