Decodificador JWT

Todas as ferramentas

Cole um token JWT abaixo para decodificar o cabeçalho e a carga útil. A decodificação não verifica a assinatura.

algo
tipo
exp (UTC)

Nota: esta ferramenta decodifica apenas. Não valida nem verifica assinaturas.

O que é um JWT?

JWT (JSON Web Token) é um formato de token compacto usado para autenticação e autorização.

Um JWT geralmente tem três partes: cabeçalho, carga útil e assinatura. Esta ferramenta decodifica o cabeçalho e a carga localmente em seu navegador e não verifica a assinatura.

Como usar o decodificador JWT

  1. Cole um token JWT no campo de entrada.
  2. A ferramenta irá decodificar o cabeçalho e a carga como JSON formatado.
  3. Copie o JSON decodificado se precisar dele para depuração.

Dicas

  • Se a decodificação falhar, verifique se o seu token possui três partes separadas por pontos.
  • Declarações como exp, iat e nbf geralmente são segundos UNIX.
  • Se o seu token foi copiado com espaços ou quebras de linha, remova-os.
  • A verificação da assinatura requer a chave secreta ou pública e não é feita aqui.

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Inspeção JWT antes de depurar auth

Decodificar um JWT ajuda a revisar claims e expiração, mas não verifica que o token é confiável.

Expiração

Revise exp, iat, nbf, fuso horário e clock skew antes de depurar sessões.

Audience e issuer

Confirme aud, iss, tenant, client_id e ambiente contra o serviço validador.

Roles e scopes

Revise scopes, roles, permissões e flags quando uma requisição autenticada não é autorizada.

Assinatura

Conteúdo decodificado não é verificação. Não trate token sem verificação como identidade válida.

Privacidade e uso

Verificações rápidas sem conta

Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.

Sem login

Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.

Local quando possível

Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.

Não cole segredos

Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.

Ferramentas relacionadas

Você também pode achar essas ferramentas úteis.

Perguntas frequentes sobre o decodificador JWT

Esta ferramenta verifica a assinatura JWT?
Não. Ele apenas decodifica o cabeçalho e a carga útil.
Meu token é enviado para o servidor?
Não. A decodificação acontece localmente no seu navegador.
Por que vejo um campo exp?
exp é a declaração de tempo de expiração, geralmente armazenada como segundos UNIX.
Posso decodificar um JWT criptografado (JWE)?
Esta ferramenta destina-se a JWTs assinados padrão (JWS). Os tokens criptografados (JWE) requerem chaves de descriptografia.