Descodificador de JWT

Descodifique o cabeçalho e o payload de um JWT no navegador e verifique a expiração e as claims — os tokens nunca saem do seu dispositivo.

#development
Apenas descodificação — a assinatura NÃO é verificada. O seu token nunca sai do navegador.

Sobre o Descodificador de JWT

Cole um JSON Web Token e veja instantaneamente o que está lá dentro: o cabeçalho descodificado com o algoritmo de assinatura, o payload completo com todas as claims e os timestamps registados (iat, exp, nbf) traduzidos em datas legíveis. A ferramenta também lhe diz num relance se o token já expirou ou quanto tempo lhe resta — chega de copiar segundos epoch para um conversor à parte enquanto depura.

Os JWT transportam habitualmente identificadores de sessão, dados do utilizador e âmbitos de API, por isso colar um num site desconhecido é um verdadeiro risco de segurança. Este descodificador processa tudo localmente no seu navegador: o token nunca é transmitido, registado ou armazenado em lado nenhum, o que torna seguro inspecionar tokens reais de produção enquanto depura fluxos de início de sessão, integrações OAuth, erros de expiração e claims mal configuradas. Note que a descodificação apenas lê o token — a assinatura não é verificada.

Funcionalidades

  • Cabeçalho e payload descodificados lado a lado
  • Claims iat, exp e nbf convertidas em datas legíveis
  • Estado de expirado ou válido-até visível num relance
  • Trata claims padrão e personalizadas por igual
  • Token processado localmente — nunca sai do seu navegador
  • Gratuito, instantâneo e sem registo

Como descodificar um JWT online

  1. Copie o JWT da sua aplicação, resposta de API ou armazenamento do navegador.
  2. Cole o token completo na caixa de entrada.
  3. Leia de imediato o cabeçalho e o payload descodificados.
  4. Verifique as datas iat e exp traduzidas e o estado de expiração.
  5. Reveja as claims personalizadas para confirmar que o seu fluxo de autenticação as define corretamente.

Perguntas frequentes

É seguro colar aqui um JWT real?

Sim. O token é separado e descodificado de Base64 inteiramente dentro do seu navegador com JavaScript — nenhum pedido o leva a um servidor, e nada é registado ou armazenado. Ainda assim, trate tokens de produção ativos como palavras-passe: esta ferramenta não os divulga, mas evite colá-los em ferramentas que não possam fazer a mesma promessa.

Esta ferramenta verifica a assinatura do JWT?

Não. Descodifica o cabeçalho e o payload para poder ler as claims, mas não verifica a assinatura, porque a verificação exige o segredo ou a chave pública do emissor. Nunca confie no conteúdo de um token para decisões de autorização sem verificar a assinatura no servidor com a chave adequada.

Porque consigo ler um JWT sem a chave secreta?

Porque os JWT são codificados, não encriptados. O cabeçalho e o payload são apenas JSON codificado em Base64Url que qualquer pessoa pode descodificar; o segredo apenas produz a assinatura que prova que o token não foi adulterado. É por isso que dados sensíveis nunca devem ir no payload de um JWT, a menos que o token seja adicionalmente encriptado como JWE.

O que significam iat, exp e nbf?

São claims de timestamp registadas, medidas em segundos epoch Unix: iat é o momento em que o token foi emitido, exp é quando expira e nbf é o instante antes do qual não deve ser aceite. Este descodificador converte as três para a sua data e hora locais e assinala automaticamente os tokens expirados.

Porque é que o meu token não descodifica?

Um JWT válido tem exatamente três secções Base64Url separadas por pontos: cabeçalho, payload e assinatura. A descodificação falha quando o token foi truncado ao copiar, envolvido em aspas ou num prefixo 'Bearer ', ou nem sequer é um JWT. Cole apenas o token em bruto e confirme que ambos os pontos sobreviveram à cópia.