Decodificador JWT: Inspecione Tokens Instantaneamente
Cole um JSON Web Token para decodificar seu header e payload, verificar o status de expiração e inspecionar claims individuais. Tudo funciona no seu navegador. Seu token nunca é transmitido para lugar nenhum.
Como Usar
- Cole seu JWT no campo de entrada (começa com eyJ)
- Inspecione o header para ver o algoritmo de assinatura (HS256, RS256, etc.) é o tipo de token
- Revise o payload para claims como usuário, emissor, expiração e campos personalizados
- Verifique o indicador de expiração para saber se o token ainda é válido ou quando expirou
- Copie seções individuais usando os botões Copiar em cada painel
Entendendo a Estrutura JWT
Um JWT são três seções codificadas em Base64URL separadas por pontos: header.payload.assinatura. O header declara o algoritmo usado para a assinatura. O payload carrega os claims: campos padrão como iss (emissor), sub (usuário), exp (expiração) e iat (emitido em), além de claims personalizados que sua aplicação adicionar. A assinatura é calculada sobre o header e payload usando o algoritmo especificado no header.
Os tokens não são criptografados por padrão. Qualquer um que intercepte um JWT pode ler o header e payload. A assinatura só garante integridade, verificando que o token foi criado por alguém com a chave de assinatura é que não foi modificado.
Claims Padrão
- iss (Issuer/Emissor): quem criou o token (ex. auth.example.com)
- sub (Subject/Sujeito): o usuário ou entidade que o token representa
- aud (Audience/Audiência): o destinatário pretendido (sua API, um serviço)
- exp (Expiration/Expiração): timêstamp Unix em que o token deixa de ser válido
- iat (Issued At/Emitido em): timêstamp Unix em que o token foi criado
- nbf (Not Before/Não antes de): timêstamp Unix antes do qual o token não é válido
- jti (JWT ID): identificador único para o token, útil para revocação
Precisa converter timêstamps Unix exp ou iat para uma data legível? Use nossó Conversor de Timêstamp Unix.