Decodificador JWT
Cabeçalho, carga útil e expiração decodificados offline – o token nunca sai do seu navegador.
Signature (base64url — verify server-side)
Cole um token, veja tudo: cabeçalho e carga útil decodificados, cada reivindicação de tempo convertida para seu fuso horário local com idade relativa, um selo EXPIRED imperdível e um aviso de segurança se o token usar o perigoso algoritmo none. A decodificação acontece inteiramente no seu dispositivo – abra o DevTools e observe: zero solicitações de rede. Testando a API à qual o token pertence? Nosso conversor cURL para código está ao lado.
Perguntas frequentes
É seguro colar um JWT real aqui?
O token é totalmente decodificado em seu navegador – nenhuma solicitação de rede é feita, nada é registrado ou armazenado e a página funciona offline depois de carregada. Dito isso, trate os tokens de produção como senhas como um hábito: prefira tokens expirados ou temporários ao depurar em qualquer ferramenta online.
O que exatamente está dentro de um JWT?
Três partes base64url separadas por pontos: um cabeçalho (algoritmo + tipo), uma carga útil (suas declarações – ID do usuário, funções, expiração) e uma assinatura. Os dois primeiros são apenas codificados, NÃO criptografados – qualquer pessoa com o token pode lê-los, que é exatamente o que este decodificador mostra.
Isso verifica a assinatura?
Não – a verificação requer a chave secreta ou pública, que nunca deve ser colada em uma página da web. Esta ferramenta decodifica e inspeciona reclamações (a depuração 95%); verifique as assinaturas do lado do servidor com a biblioteca JWT da sua estrutura.
Por que alg=none está sinalizado em vermelho?
O infame ataque “nenhum algoritmo”: algumas bibliotecas antigas aceitavam tokens não assinados se o cabeçalho reivindicasse alg none, permitindo que os invasores falsificassem qualquer identidade. Os servidores devem rejeitar tais tokens imediatamente – a bandeira vermelha lembra você de verificar o seu.
O que significam exp, iat e nbf?
Carimbos de data e hora Unix que regem a validade: iat = quando emitido, nbf = não válido antes, exp = expiração. O decodificador converte cada um para sua hora local com uma descrição relativa ("2 horas atrás") e mostra um selo EXPIRED claro quando relevante.