Toolinix – simple online developer tools

Decodificador JWT

Todas as ferramentas

Cole um token JWT abaixo para decodificar o cabeçalho e a carga útil. A decodificação não verifica a assinatura.

algo
tipo
exp (UTC)

Nota: esta ferramenta decodifica apenas. Não valida nem verifica assinaturas.

O que é um JWT?

JWT (JSON Web Token) é um formato de token compacto usado para autenticação e autorização.

Um JWT geralmente tem três partes: cabeçalho, carga útil e assinatura. Esta ferramenta decodifica o cabeçalho e a carga localmente em seu navegador e não verifica a assinatura.

Como usar o decodificador JWT

  1. Cole um token JWT no campo de entrada.
  2. A ferramenta irá decodificar o cabeçalho e a carga como JSON formatado.
  3. Copie o JSON decodificado se precisar dele para depuração.

Dicas

  • Se a decodificação falhar, verifique se o seu token possui três partes separadas por pontos.
  • Declarações como exp, iat e nbf geralmente são segundos UNIX.
  • Se o seu token foi copiado com espaços ou quebras de linha, remova-os.
  • A verificação da assinatura requer a chave secreta ou pública e não é feita aqui.

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Auth e segurança

Como inspecionar problemas de autenticação JWT

Fluxo JWT para revisar claims, time values, permissões e signing assumptions sem tratar decode como verification.

Ler guia
Domínios e segurança

Como validar um domínio antes do lançamento

Workflow de lançamento para confirmar DNS records, sinais de ownership, cobertura SSL e security headers no endpoint público.

Ler guia

Inspeção JWT antes de depurar auth

Decodificar um JWT ajuda a revisar claims e expiração, mas não verifica que o token é confiável.

Expiração

Revise exp, iat, nbf, fuso horário e clock skew antes de depurar sessões.

Audience e issuer

Confirme aud, iss, tenant, client_id e ambiente contra o serviço validador.

Roles e scopes

Revise scopes, roles, permissões e flags quando uma requisição autenticada não é autorizada.

Assinatura

Conteúdo decodificado não é verificação. Não trate token sem verificação como identidade válida.

Privacidade e uso

Verificações rápidas sem conta

Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.

Sem login

Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.

Local quando possível

Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.

Não cole segredos

Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.

Ferramentas relacionadas

Você também pode achar essas ferramentas úteis.

Codificador JWT (HS256)
Gere tokens JWT assinados usando HS256 (HMAC SHA-256) diretamente em seu navegador.
Codificação e Segurança
Depurador JWT
Analise, valide e edite tokens JWT online.
Codificação e Segurança
Codificador/Decodificador Base64
Codifique e decodifique Base64 instantaneamente no navegador. Conversor gratuito, sem login.
Codificação e Segurança
Gerador HMAC
Gere assinaturas HMAC-SHA-256, SHA-1 e SHA-512 instantaneamente em seu navegador.
Codificação e Segurança

Perguntas frequentes sobre o decodificador JWT

Esta ferramenta verifica a assinatura JWT?
Não. Ele apenas decodifica o cabeçalho e a carga útil.
Meu token é enviado para o servidor?
Não. A decodificação acontece localmente no seu navegador.
Por que vejo um campo exp?
exp é a declaração de tempo de expiração, geralmente armazenada como segundos UNIX.
Posso decodificar um JWT criptografado (JWE)?
Esta ferramenta destina-se a JWTs assinados padrão (JWS). Os tokens criptografados (JWE) requerem chaves de descriptografia.