Decodificador de Token JWT
Decodifique tokens JWT (JSON Web Token) diretamente no navegador. Visualize o header, payload e datas de expiração. Processamento 100% local, nenhum token é enviado para servidor.

Esta ferramenta apenas decodifica o JWT, não valida a assinatura.
Evite colar tokens reais de produção, tokens com dados sensíveis ou credenciais ativas. O processamento é local no navegador; nenhum dado é enviado para servidor.
Gostou? Mostre pra todo mundo
Gere um card bonito com a marca do ValorFinal para postar nos Stories ou mandar no WhatsApp. Nada que você digitou aparece no card.
Calculadoras relacionadas
Cálculo auditável, com fórmula e fontes transparentes
Atualizado em . Fontes: RFC 7519 / IETF / MDN Web Docs.
Fontes oficiais
- RFC 7519 - JSON Web Token (JWT)
- RFC 7515 - JSON Web Signature (JWS)
- RFC 7518 - JSON Web Algorithms (JWA)
- RFC 4648 - The Base16, Base32, and Base64 Data Encodings
- MDN Web Docs - atob()
Links externos para os documentos oficiais consultados na construção desta página. O conteúdo deles pode mudar sem aviso; em caso de divergência, vale sempre a fonte oficial.
Incorpore esta calculadora no seu site (grátis)
Copie e cole o código no seu site. A calculadora se atualiza sozinha e o crédito ao ValorFinal é mantido.
Perguntas frequentes
O que é um JWT (JSON Web Token)?
JWT (JSON Web Token) é um padrão aberto (RFC 7519) para transmitir informações de forma compacta e segura entre partes como um objeto JSON. É composto por três partes separadas por pontos: Header (cabeçalho com algoritmo e tipo), Payload (dados/claims) e Signature (assinatura). É amplamente usado para autenticação e autorização em APIs.
Esta ferramenta valida a assinatura do JWT?
Não. Esta ferramenta apenas decodifica o header e o payload do JWT, não valida a assinatura. Para validar a assinatura, seria necessário ter a chave secreta (para HMAC) ou a chave pública (para RSA/ECDSA) usada pelo servidor emissor. Nunca confie em um JWT apenas porque ele pode ser decodificado, sempre valide a assinatura no servidor.
É seguro colar meu JWT nesta ferramenta?
O processamento é 100% local no navegador, nenhum token é enviado para servidores. Porém, recomendamos evitar colar tokens de produção ativos, especialmente tokens com dados sensíveis, credenciais ativas ou tokens de longa duração. Prefira testar com tokens de desenvolvimento ou tokens já expirados.
O que significam os campos exp, iat e nbf no JWT?
São claims de tempo padronizadas pelo RFC 7519: exp (Expiration Time) define quando o token expira e não deve mais ser aceito; iat (Issued At) indica quando o token foi emitido; nbf (Not Before) indica a partir de quando o token pode ser usado. Todos são representados como Timestamps Unix (segundos desde 1970-01-01T00:00:00Z).
Quais algoritmos de assinatura JWT existem?
Os principais são: HS256/HS384/HS512 (HMAC com SHA-2, chave simétrica compartilhada), RS256/RS384/RS512 (RSA com SHA-2, par de chaves pública/privada), ES256/ES384/ES512 (ECDSA, criptografia de curva elíptica) e PS256/PS384/PS512 (RSA-PSS). O algoritmo 'none' não usa assinatura e deve ser rejeitado por servidores em produção.
O que é Base64URL, diferente de Base64 normal?
Base64URL é uma variante do Base64 que substitui '+' por '-' e '/' por '_', e omite o padding '='. Essa variante é necessária porque '+', '/' e '=' têm significados especiais em URLs e parâmetros de query string. O JWT usa Base64URL para codificar o header e o payload, tornando o token seguro para uso em URLs.