Decodificador JWT

Cole seu JSON Web Token (JWT) para decodificar e visualizar seu cabeçalho e payload instantaneamente. Decodifica HS256, RS256 e outros algoritmos comuns.

Cabeçalho

// O cabeçalho decodificado aparecerá aqui

Payload

// O payload decodificado aparecerá aqui

Um Guia Completamente para o Nosso Decodificador de JSON Web Token (JWT)

Bem-vindo ao nosso decodificador JWT seguro no lado do cliente. Esta ferramenta online gratuita é um utilitário essencial para qualquer desenvolvedor, profissional de segurança ou indivíduo que trabalha com sistemas de autenticação modernos. Ele permite decodificar instantaneamente JWTs (JSON Web Tokens) e inspecionar seu conteúdo em um formato limpo e legível por humanos. Basta colar seu token na área de texto e nossa ferramenta analisará o cabeçalho e o payload, exibindo-os como JSON formatado.

A característica mais importante deste decodificador JWT online é a sua segurança. Toda a decodificação e processamento acontecem 100% dentro do seu navegador. Seus tokens nunca são enviados para o nosso servidor. Esta abordagem no lado do cliente garante que suas informações confidenciais, como tokens de autenticação, chaves de API ou dados privados do usuário, permaneçam completamente privadas. Você pode depurar qualquer token JWT com total confiança.

O que é um JSON Web Token (JWT)?

Um JSON Web Token (JWT) é um padrão aberto compacto e seguro para URLs (definido pela RFC 7519) usado para transmitir informações com segurança entre partes como um objeto JSON. Como essas informações são assinadas digitmente, elas podem ser verificadas e são confiáveis. Os JWTs são stateless (sem estado) e autocontidos, o que significa que todas as informações necessárias para autenticar um usuário estão contidas no próprio token. Isso os torna uma escolha extremamente popular para aplicações web e móveis modernas, particularmente para lidar com autenticação e troca de informações.

Você pode identificar facilmente um JWT por sua estrutura de três partes, com cada parte separada por um ponto (.): cabeçalho.payload.assinatura.

As Três Partes de um JWT Explicadas

Ao usar nosso decodificador JWT, você está visualizando as versões decodificadas das duas primeiras partes do token.

1. O Cabeçalho (Metadados)

A primeira parte do token é o Cabeçalho JWT. É um objeto JSON codificado em Base64Url. Ele normalmente consiste em dois pares chave-valor:

2. O Payload (Reivindicações)

A segunda parte do token é o Payload JWT. Esta parte também é um objeto JSON codificado em Base64Url e contém as "reivindicações" (claims). Reivindicações são declarações sobre uma entidade (normalmente o usuário) e dados adicionais. Existem três tipos de reivindicações:

Nosso visualizador de reivindicações JWT facilita a inspeção de todas essas reivindicações rapidamente.

3. A Assinatura

A terceira parte do token é a Assinatura JWT. Ela é criada pegando o cabeçalho codificado, o payload codificado, uma chave secreta (ou chave privada para algoritmos assimétricos) e executando-os através do algoritmo especificado (alg).

O propósito da assinatura é verificar a autenticidade do token. Ela garante que o token não foi alterado em trânsito. Se um invasor alterar até mesmo um único caractere no payload, a assinatura não será mais válida. É por isso que esta ferramenta não valida e não pode validar a assinatura — fazer isso exigiria a chave secreta, que nunca deve ser compartilhada ou colada em uma ferramenta online.

Como Usar Esta Ferramenta Decodificadora de JWT

  1. Copie Seu Token: Copie a string JWT completa (todas as três partes) do seu aplicativo, armazenamento local do navegador ou resposta da API.
  2. Cole o Token: Cole o token na área de texto no topo da página. Você também pode usar o botão "Carregar Exemplo" para ver um token válido.
  3. Clique em "Decodificar Token": A ferramenta analisará instantaneamente o token.
  4. Inspecione os Resultados: O Cabeçalho e o Payload serão exibidos em duas caixas JSON separadas e claramente formatadas abaixo, permitindo que você leia facilmente todas as reivindicações e metadados.
  5. Limpar: Clique no botão "Limpar" para recomeçar.

Cenários Comuns de Depuração

Um decodificador JWT é principalmente uma ferramenta de depuração. Hier estão os problemas comuns que você pode resolver com ele:

Ferramentas de Desenvolvedor Relacionadas

Como os JWTs são baseados em outros padrões web, você pode achar estas ferramentas úteis em conjunto com o nosso decodificador:

Perguntas Frequentes

O que é um Decodificador JWT?

Um Decodificador JWT é uma ferramenta que divide um JSON Web Token em seus três componentes (Cabeçalho, Payload e Assinatura) e exibe o Cabeçalho e o Payload em uma estrutura JSON formatada e legível por humanos. Ele permite inspecionar rapidamente os dados (reivindicações) e metadados armazenados no token.

Este Decodificador JWT é seguro para usar com tokens sensíveis?

Sim, é 100% seguro. Esta ferramenta opera inteiramente no lado do cliente, no seu navegador. Seu token, cabeçalhos e payload nunca são enviados pela rede, registrados ou armazenados em nossos servidores. Você pode decodificar tokens de autenticação sensíveis com segurança, sem preocupações de privacidade.

Esta ferramenta valida a assinatura do JWT?

Não. Esta ferramenta apenas decodifica o token; ela não valida a assinatura. Validar uma assinatura requer a 'chave secreta' (para algoritmos simétricos como HS256) ou a 'chave pública' (para algoritmos assimétricos como RS256) que foi usada para criar o token. Você nunca deve colar suas chaves secretas em uma ferramenta online. Este decodificador serve para inspecionar os dados (reivindicações) dentro do token, não para verificar sua autenticidade.

Qual é a diferença entre o Cabeçalho e o Payload?

O Cabeçalho normalmente contém metadados sobre o token, como o tipo de token (typ, que é 'JWT') e o algoritmo de assinatura usado (alg, ex: 'HS256'). O Payload contém os dados reais ou 'reivindicações' que estão sendo enviados, como o ID do usuário (sub), o emissor do token (iss), o tempo de expiração (exp) e quaisquer outros dados personalizados.

Um JWT é codificado ou criptografado?

Este é um ponto comum de confusão. Um JWT padrão (JWS) é codificado (usando Base64Url) e assinado, mas não é criptografado. Isso significa que qualquer pessoa que tenha o token pode decodificá-lo e ler seu conteúdo (como esta ferramenta demonstra). Se você precisar ocultar os dados de serem lidos, deve usar um token JSON Web Encryption (JWE).

O que significa a reivindicação 'exp' em um JWT?

A reivindicação exp (Expiration Time) é uma reivindicação registrada que define o tempo após o qual o JWT não deve ser aceito para processamento. É um timestamp Unix (un número que representa os segundos desde 01-01-1970 00:00:00Z). Um servidor que recebe um token deve sempre verificar esta reivindicação para garantir que o token não expirou.

Decodificador JWT: Ferramenta Online Gratuita e Segura para Decodificar JWTs | CoderTab