CiphersOnline
Criptografia Online
Codificação
Decodificador JWT

Decodificador JWT online

Decodifique e inspecione JWTs e tokens Bearer diretamente no navegador. Veja header, payload, claims, tempo de expiração e estrutura do token para depurar autenticação, fluxos OAuth e integrações de API.

Entrada
0 caract. · 0 bytes
Testar:
Resultado
✓ Decodificação de token sem verificação de assinatura ✓ Visualização de cabeçalho e payload ✓ Nenhuma chave necessária para ler o conteúdo ✓ Processamento local no navegador
Exemplos
Decodificar um JWT básico
Entrada eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpvw6NvIFNpbHZhIiwiaWF0IjoxNTE2MjM5MDIyfQ.signature
Saída Header: { "alg": "HS256", "typ": "JWT" } Payload: { "sub": "1234567890", "name": "João Silva", "iat": 1516239022 }

Inspecione o header e o payload do JWT sem verificar a assinatura.

Decodificar um token Bearer
Entrada Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature
Saída Header: { "alg": "HS256", "typ": "JWT" } Payload: { "iss": "api.example.com", "aud": "my-app", "scope": "read:users", "exp": 1924992000 }

Prefixos Bearer são comuns em headers Authorization e podem ser removidos antes da inspeção do JWT.

Inspecionar o claim de expiração
Entrada eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature
Saída Header: { "alg": "RS256", "typ": "JWT" } Payload: { "sub": "user_42", "exp": 1924992000, "iat": 1717200000, "role": "admin" }

Claims JWT como exp e iat são Unix timestamps e são úteis ao depurar tokens expirados ou ainda não válidos.

Criar um payload JWT
Entrada {"sub":"user_42","role":"admin","exp":1924992000}
Saída eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Codifique um payload JSON em um segmento de payload JWT Base64URL. Isso ajuda a entender como os claims JWT são representados antes da assinatura.

Como o decodificador JWT funciona

Um JSON Web Token (JWT) normalmente tem três partes: Header, Payload e Signature. Essas partes são separadas por pontos e codificadas com Base64URL.

Este decodificador lê o token, decodifica o header e o payload e exibe os dados JSON em um formato legível. Isso ajuda a inspecionar claims como issuer, subject, audience, horário de emissão, horário de expiração, scopes, roles e campos personalizados da aplicação.

Este decodificador não realiza verificação de assinatura. A decodificação mostra o que existe dentro do token, mas não prova que o token é válido, confiável ou que não foi alterado.

JWT, Base64URL e segurança

As seções header e payload de um JWT são codificadas, não criptografadas. Qualquer pessoa que tenha o token pode decodificar essas partes e ler seu conteúdo. Por isso, segredos sensíveis não devem ser colocados no payload de um JWT, a menos que o token seja criptografado por um mecanismo separado.

A seção signature é usada para detectar adulterações. Um servidor pode verificar a assinatura com uma chave secreta ou com um par de chaves pública/privada, dependendo do algoritmo. Esta ferramenta é destinada a inspeção e depuração, não à validação criptográfica.

Casos comuns de depuração com JWT

A decodificação de JWT é usada com frequência ao depurar autenticação, OAuth, OpenID Connect, autorização de API, access tokens, refresh tokens e tokens Bearer de headers Authorization.

Desenvolvedores costumam inspecionar JWTs para verificar timestamps de expiração, issuer do token, audience, scopes, roles, permissões, identificadores de usuário e valores inesperados de claims durante problemas de login ou integração de API.

JWT Decode vs JWT Verify

Decodificar um JWT apenas torna o header e o payload legíveis. Isso não verifica se o token é válido, expirou, é confiável ou foi assinado corretamente.

Verificar um JWT exige validar a assinatura, o algoritmo, issuer, audience, tempo de expiração e outras regras usadas pela sua aplicação. Este decodificador ajuda a inspecionar o conteúdo do token, enquanto a validação completa deve ser feita pelo seu sistema de autenticação.

FAQ

JWT (JSON Web Token) é um formato de token compacto e autocontido usado para autenticação e troca segura de dados. Ele é amplamente usado em OAuth, OpenID Connect e como token Bearer em headers Authorization.

Não. Esta ferramenta apenas decodifica e inspeciona a estrutura do token: header, payload e claims. A verificação de assinatura e a validação do token não são realizadas.

Sim. A decodificação apenas converte dados Base64URL em JSON legível.

Sim. Tokens expirados ainda podem ser decodificados e inspecionados; isso é útil para depuração de auth e investigação de problemas com access token.

Não. Toda a decodificação acontece localmente no seu navegador. Seus tokens nunca saem do seu dispositivo.

Payloads JWT são codificados com Base64URL, não criptografados. Eles são projetados para serem legíveis; a confidencialidade é fornecida pelo transporte (HTTPS), não pela codificação.

A signature permite que o servidor verifique se o token não foi adulterado. Ela é calculada a partir do header e do payload usando uma chave secreta ou uma chave privada (RS256, HS256 etc.).

Normalmente, não. Um JWT padrão é codificado e assinado, mas não criptografado. O header e o payload podem ser decodificados por qualquer pessoa que tenha o token.

O claim exp armazena o tempo de expiração do token como Unix timestamp. Depois desse momento, o token não deve mais ser aceito pelo servidor.

Um token Bearer é um token enviado em um header HTTP Authorization. Muitos tokens Bearer são JWTs, mas o termo descreve como o token é usado, não necessariamente seu formato.

Não. Payloads JWT geralmente ficam legíveis após a decodificação. Não coloque senhas, chaves de API, tokens privados ou outros segredos dentro de um payload JWT normal.
Ferramentas relacionadas

Conversor binário online

Converta texto em grupos binários de 8 bits e decodifique bytes binários de volta para texto legível.

Conversor ASCII

Converta caracteres ASCII e códigos numéricos para fluxos de trabalho com protocolos e parsers.

Conversor Unicode

Converta texto em escapes Unicode e decodifique escapes Unicode, entidades HTML e texto multilíngue.

Todas as ferramentas de Codificação e conversão de dados →