Decodificador de Token JWT
Decodifique tokens JWT (JSON Web Token) diretamente no navegador. Visualize o header, payload e datas de expiração. Processamento 100% local — nenhum token é enviado para servidor.
Esta ferramenta apenas decodifica o JWT — não valida a assinatura.
Evite colar tokens reais de produção, tokens com dados sensíveis ou credenciais ativas. O processamento é local no navegador; nenhum dado é enviado para servidor.
Calculadoras relacionadas
Perguntas frequentes
O que é um JWT (JSON Web Token)?
JWT (JSON Web Token) é um padrão aberto (RFC 7519) para transmitir informações de forma compacta e segura entre partes como um objeto JSON. É composto por três partes separadas por pontos: Header (cabeçalho com algoritmo e tipo), Payload (dados/claims) e Signature (assinatura). É amplamente usado para autenticação e autorização em APIs.
Esta ferramenta valida a assinatura do JWT?
Não. Esta ferramenta apenas decodifica o header e o payload do JWT — não valida a assinatura. Para validar a assinatura, seria necessário ter a chave secreta (para HMAC) ou a chave pública (para RSA/ECDSA) usada pelo servidor emissor. Nunca confie em um JWT apenas porque ele pode ser decodificado — sempre valide a assinatura no servidor.
É seguro colar meu JWT nesta ferramenta?
O processamento é 100% local no navegador — nenhum token é enviado para servidores. Porém, recomendamos evitar colar tokens de produção ativos, especialmente tokens com dados sensíveis, credenciais ativas ou tokens de longa duração. Prefira testar com tokens de desenvolvimento ou tokens já expirados.
O que significam os campos exp, iat e nbf no JWT?
São claims de tempo padronizadas pelo RFC 7519: exp (Expiration Time) define quando o token expira e não deve mais ser aceito; iat (Issued At) indica quando o token foi emitido; nbf (Not Before) indica a partir de quando o token pode ser usado. Todos são representados como Timestamps Unix (segundos desde 1970-01-01T00:00:00Z).
Quais algoritmos de assinatura JWT existem?
Os principais são: HS256/HS384/HS512 (HMAC com SHA-2 — chave simétrica compartilhada), RS256/RS384/RS512 (RSA com SHA-2 — par de chaves pública/privada), ES256/ES384/ES512 (ECDSA — criptografia de curva elíptica) e PS256/PS384/PS512 (RSA-PSS). O algoritmo 'none' não usa assinatura e deve ser rejeitado por servidores em produção.
O que é Base64URL, diferente de Base64 normal?
Base64URL é uma variante do Base64 que substitui '+' por '-' e '/' por '_', e omite o padding '='. Essa variante é necessária porque '+', '/' e '=' têm significados especiais em URLs e parâmetros de query string. O JWT usa Base64URL para codificar o header e o payload, tornando o token seguro para uso em URLs.