JWT Decoder
Cole um token JWT para decodificar header e payload, ler claims comuns e inspecionar a assinatura sem validar o segredo.
A decodificacao acontece no navegador. Nenhum token e enviado para servidores.
Resultado decodificado
Processamento local: nao cole tokens reais de producao se eles contiverem dados sensiveis.
Claims comuns
Header
Cole um token JWT e clique em Decodificar JWT.
Payload
Cole um token JWT e clique em Decodificar JWT.
Assinatura
Cole um token JWT e clique em Decodificar JWT.
Resposta rapida
O JWT Decoder separa um token JWT em header, payload e assinatura. Ele mostra o JSON decodificado, claims como iss, sub, aud, iat e exp, e ajuda a revisar tokens usados em APIs e autenticacao.
Como usar o JWT Decoder
Cole o token completo no campo principal e clique em decodificar. Leia o header para conferir algoritmo e tipo, veja o payload para entender as claims e copie o JSON quando precisar documentar ou depurar uma integracao.
Opcoes disponiveis
Voce pode usar um token de exemplo, copiar o JSON decodificado, baixar o resultado em arquivo .json e limpar a tela para testar outro token.
Como a decodificacao funciona
Um JWT compactado tem tres partes em Base64URL. A ferramenta converte header e payload para texto UTF-8 e interpreta o conteudo como JSON. A terceira parte e exibida como assinatura, mas nao e verificada.
Exemplo pratico
Um token com payload contendo sub=user-123 e role=admin sera exibido como JSON legivel. Se houver exp ou iat, a ferramenta tambem mostra uma data aproximada em horario local.
Como interpretar o resultado
Header informa algoritmo e tipo do token. Payload traz claims sobre emissor, assunto, publico, expiracao e permissoes. A assinatura serve para validar integridade, mas essa validacao exige segredo ou chave publica fora deste decoder.
Dicas uteis
Nunca trate JWT decodificado como prova de autenticidade sem validar a assinatura no backend. Evite colar tokens reais com dados sensiveis em ferramentas publicas, mesmo quando o processamento e local.
Perguntas frequentes
JWT Decoder valida a assinatura?
Nao. Esta ferramenta decodifica header e payload, mas nao valida segredo, chave publica ou integridade criptografica.
JWT e criptografado?
Normalmente nao. JWT assinado pode ser lido por qualquer pessoa que tenha o token. A assinatura apenas ajuda a detectar alteracoes.
Meus tokens sao enviados para servidor?
Nao. A decodificacao acontece no navegador usando JavaScript local.
O que significa exp no JWT?
exp e a data de expiracao em Unix timestamp. Depois desse horario, o token deve ser recusado pela aplicacao.