Decodificador JWT
Decodifique e inspecione qualquer token web JSON. Veja o cabecalho, payload e assinatura. Verifique assinaturas HS256 com um segredo. Verifique se o token esta expirado. Todo o processamento ocorre localmente no seu navegador.
🔒 Todo o processamento ocorre localmente no seu navegador.
Como usar este decodificador JWT
- Cole um token JWT na area de entrada — ou clique em Carregar exemplo.
- O token e decodificado instantaneamente — o Cabecalho mostra o algoritmo e tipo, o Payload mostra todas as declaracoes.
- O status de expiracao do token e mostrado automaticamente — verde para valido, vermelho para expirado.
- Digite uma chave secreta acima para verificar assinaturas HS256/HS384/HS512.
- Clique em Copiar Cabecalho ou Copiar Payload para copiar secoes individuais.
Sobre tokens JWT
Tokens web JSON (JWTs) sao o padrao dominante para autenticacao sem estado em aplicacoes web modernas. Quando voce faz login, o servidor emite um JWT assinado que o cliente envia com cada solicitacao.
JWTs sao seguros para decodificar e inspecionar — o cabecalho e o payload sao apenas JSON codificado em Base64url. A assinatura e o que previne manipulacao.
Esta ferramenta usa a API Web Crypto para verificar assinaturas baseadas em HMAC (HS256, HS384, HS512) localmente. Para RS256 e outros algoritmos de chave publica, a chave publica do emissor seria necessaria.
Perguntas frequentes
O que e um token JWT? ▼
Um JWT (token web JSON) e um formato compacto e seguro para URL que transmite informacoes entre partes como um objeto JSON. Consiste em tres partes: cabecalho, payload e assinatura. JWTs sao comumente usados para autenticacao e autorizacao.
O que um decodificador JWT mostra? ▼
O Cabecalho contem metadados sobre o token — o algoritmo de assinatura e tipo de token. O Payload contem as declaracoes — campos predefinidos como sub (assunto), iat (emitido em) e exp (expiracao), alem de declaracoes personalizadas. A Assinatura e a prova criptografica.
Como verifico uma assinatura JWT? ▼
Digite o token no decodificador, depois digite a chave secreta (para algoritmos HMAC como HS256) e clique em Decodificar JWT. Apenas algoritmos baseados em HMAC podem ser verificados localmente.
Meu JWT e enviado a um servidor? ▼
Nao. Toda a decodificacao e verificacao ocorre 100% no seu navegador. O token nunca sai do seu dispositivo. Voce pode usar esta ferramenta ate offline.
O que significa expirado? ▼
A declaracao exp (expiracao) em um JWT especifica quando o token se torna invalido. Se a hora atual estiver apos este carimbo de tempo, o token e considerado expirado. Esta ferramenta mostra o status de expiracao.
Posso decodificar um JWT sem verificacao de assinatura? ▼
Sim. Voce pode decodificar qualquer JWT sem segredo — o cabecalho e o payload sao apenas JSON codificado em Base64url que qualquer pessoa pode ler.
Qual e a diferenca entre HS256 e RS256? ▼
HS256 (HMAC com SHA-256) e um algoritmo simetrico — o mesmo segredo e usado para assinar e verificar. RS256 (RSA com SHA-256) e assimetrico — usa uma chave privada para assinar e uma chave publica para verificar.