Toolinix – simple online developer tools

Depurador JWT

Todas as ferramentas

Editor

Resumo

Algoritmo
Verificação
Assinatura
experiência
nbf
isso

Avisos

Token decodificado

O que é um depurador JWT?

Um depurador JWT ajuda a inspecionar JSON Web Tokens decodificando o cabeçalho e a carga útil, verificando declarações e validando a assinatura quando um segredo ou chave está disponível.

É útil para depuração de autenticação, testes de API, verificações de expiração e edição rápida de dados de carga útil durante o desenvolvimento.

Como usar o depurador JWT

  1. Cole um token JWT no campo token.
  2. Opcionalmente, insira o segredo ou chave e escolha o algoritmo.
  3. Clique em Analisar para inspecionar declarações e resultados de validação.
  4. Edite o cabeçalho ou a carga útil JSON e gere um novo token, se necessário.

Dicas

  • Os dados de carga útil do JWT são apenas codificados, não criptografados.
  • Sempre verifique a expiração e as declarações não anteriores ao depurar problemas de autenticação.
  • Use o mesmo algoritmo e segredo do seu back-end ao validar assinaturas.
  • Não cole segredos de produção, a menos que você confie totalmente no ambiente.

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Auth e segurança

Como inspecionar problemas de autenticação JWT

Fluxo JWT para revisar claims, time values, permissões e signing assumptions sem tratar decode como verification.

Ler guia
Domínios e segurança

Como validar um domínio antes do lançamento

Workflow de lançamento para confirmar DNS records, sinais de ownership, cobertura SSL e security headers no endpoint público.

Ler guia

Verificações de JWT antes de confiar em token claims

Decodificar um JWT torna claims legíveis, mas signature validation, expiration, issuer, audience e key choice definem se ele é confiável.

Valide a signature

Verifique algorithm, secret ou public key e o signing method esperado antes de aceitar valores de header e payload.

Revise time claims

Inspecione exp, nbf e iat com timezone e clock skew corretos para não aceitar tokens expirados ou ainda não válidos.

Confirme issuer e audience

Compare iss, aud, sub, tenant e scope values com a aplicação que consumirá o token.

Evite colar secrets

Use tokens não produtivos ou local test keys ao depurar, especialmente para screenshots, logs ou tickets de suporte.

Privacidade e uso

Verificações rápidas sem conta

Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.

Sem login

Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.

Local quando possível

Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.

Não cole segredos

Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.

Ferramentas relacionadas

Você também pode achar essas ferramentas úteis.

Decodificador JWT
Decodifique o cabeçalho JWT e a carga útil instantaneamente em seu navegador.
Codificação e Segurança
Codificador JWT (HS256)
Gere tokens JWT assinados usando HS256 (HMAC SHA-256) diretamente em seu navegador.
Codificação e Segurança
Gerador HMAC
Gere assinaturas HMAC-SHA-256, SHA-1 e SHA-512 instantaneamente em seu navegador.
Codificação e Segurança
Codificador/Decodificador Base64
Codifique e decodifique Base64 instantaneamente no navegador. Conversor gratuito, sem login.
Codificação e Segurança

Perguntas frequentes sobre o depurador JWT

Esta ferramenta pode validar assinaturas JWT?
Sim, quando você fornece o segredo ou a chave necessária e o token usa um algoritmo compatível.
Posso editar e regenerar um JWT?
Sim. Você pode modificar o cabeçalho e a carga JSON e, em seguida, gerar um novo token.
Mostra detalhes de expiração?
Sim. O depurador pode mostrar se um token expirou e ajudar a inspecionar declarações relacionadas ao tempo.
Meu token é enviado para um servidor?
Isso depende da sua implementação. Se a sua configuração for validada no back-end, não use segredos de produção, a menos que você confie no ambiente.