Área da ferramenta
decodificador JWT e parser JSON Web Token online
Decodifique header, payload e metadados úteis do JWT no navegador.
Decodificador JWT
Decodificador JWT
bytes →
Decodificador JWT
Parâmetros de consulta
IDN / Punycode
Decodificador JWT
..
Cabeçalho
Payload
Metadados
· Expira:
Verificar assinatura
Assinar (HS)
Decodificador JWT
Biblioteca de padrões
Correspondências destacadas
Correspondências ()
Resultado da substituição
Decodificador JWT
Relativo:
Fuso horário
Construir por partes
Diferença
Decodificador JWT
Decodificador JWT
Decodificador JWT
Exemplos
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Payload decodificado
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Guias e artigos
Como JSON Web Tokens funcionam em aplicações reais
Um JWT transporta claims assinados em uma string compacta. Segurança depende de validar assinatura, algoritmo, issuer, audience e tempo.
Ler artigoErros de segurança com JWT e como evitá-los
Problemas surgem com algoritmos permissivos, claims ignorados, tokens longos, chaves mal rotacionadas, logs inseguros e armazenamento fraco.
Ler artigoJWT ou sessão: como escolher um modelo de autenticação
Sessões centralizam controle; JWT distribui verificação. A escolha depende de revogação, clientes, permissões, operação e escala.
Ler artigoDecodificador JWT
Decodifique header, payload e metadados úteis do JWT no navegador. DevToolGrid Online oferece um decodificador JWT e parser JSON Web Token online.
O que é um JWT?
Um JWT (JSON Web Token) é um token compacto e seguro para URLs, usado em autenticação e autorização. Tem três partes Base64URL separadas por pontos: um cabeçalho (o algoritmo de assinatura), um payload (claims como id do usuário e validade) e uma assinatura que protege as duas primeiras partes contra adulteração. O cabeçalho e o payload são apenas codificados, não criptografados.
Como decodificar e verificar um JWT
- 1 Cole o token na entrada; o cabeçalho e o payload são decodificados na hora.
- 2 Leia os claims e o status legível de validade (exp) e não-antes (nbf).
- 3 Para verificar, cole o segredo para HS256/384/512 ou a chave pública para algoritmos RS/ES.
- 4 Opcionalmente assine um novo token HS a partir de cabeçalho, payload e segredo.
Erros comuns com JWT
- Colocar segredos no payloadO payload é apenas codificado em Base64 e legível por qualquer um. Nunca guarde senhas ou dados sensíveis nele.
- Não verificar a assinaturaDecodificar um token não prova que ele é autêntico. Sempre verifique a assinatura no servidor.
- Ignorar a validadeUm token após o exp deve ser rejeitado mesmo com assinatura válida.
Decodificar vs verificar um JWT
Decodificar apenas lê o cabeçalho e o payload — qualquer um pode, pois essas partes não são criptografadas. Verificar confere a assinatura com um segredo ou chave pública para confirmar que o token foi emitido por uma parte confiável e não foi alterado. Esta ferramenta decodifica qualquer token e verifica assinaturas HS, RS, ES e PS no navegador.
Perguntas frequentes
Esta ferramenta é gratuita?
Sim. O decodificador e verificador de JWT são totalmente gratuitos, sem cadastro.
Meu token é enviado a um servidor?
Não. Decodificação, verificação e assinatura acontecem localmente no navegador, então tokens nunca saem do dispositivo.
A assinatura é realmente verificada?
Sim. Forneça o segredo ou a chave pública e a ferramenta confere a assinatura com a Web Crypto API.
É seguro colar um token de produção?
Como tudo roda localmente, o token não é transmitido. Ainda assim, trate tokens reais com cuidado e prefira tokens de teste.