Decodificador JWT

Decodifique tokens JWT e veja header, payload e expiração.

Decodificador JWT: analise tokens JSON Web Token

Os JSON Web Tokens (JWT) são o mecanismo de autenticação mais utilizado nas APIs e aplicações web modernas. Um JWT consiste em três partes codificadas em Base64 e separadas por pontos: o header (algoritmo e tipo de token), o payload (dados do usuário e claims) e a assinatura (verificação de integridade). Nosso decodificador permite analisar rapidamente o conteúdo de qualquer JWT.

A ferramenta decodifica instantaneamente ambas as partes legíveis (header e payload), mostrando em formato JSON formatado os dados contidos no token: identidade do usuário, permissões, data de emissão (iat), data de expiração (exp) e qualquer outro claim personalizado. É especialmente útil para desenvolvedores que precisam depurar problemas de autenticação, verificar se um token está expirado ou inspecionar as permissões atribuídas.

É importante entender que decodificar um JWT não é o mesmo que verificá-lo. Qualquer pessoa pode ler o conteúdo de um JWT (está apenas codificado em Base64, não criptografado), mas só o servidor com a chave secreta pode verificar que o token não foi modificado. Nunca inclua informações sensíveis como senhas no payload de um JWT. O processamento é 100% local no seu navegador.

Perguntas frequentes

O que é um JWT e para que serve?

Um JWT (JSON Web Token) é um padrão para criar tokens de acesso que permitem autenticação e troca de informações entre um cliente e um servidor. São usados principalmente em sistemas de autenticação (login), autorização de APIs, Single Sign-On (SSO) e comunicação entre microsserviços. Seu formato compacto os torna ideais para incluir em headers HTTP ou parâmetros de URL.

É seguro decodificar um JWT em uma ferramenta online?

É seguro desde que a ferramenta processe o token localmente no seu navegador, como faz o NexTools. Evite ferramentas que enviem o token a um servidor, pois os JWTs costumam conter dados sensíveis. É importante entender que decodificar não é o mesmo que verificar: qualquer pessoa pode ler o conteúdo de um JWT, mas só quem tiver a chave secreta pode verificar sua assinatura e criar tokens válidos.

O que significam os campos exp, iat e sub em um JWT?

São claims padrão definidos na especificação JWT. "exp" (expiration) indica quando o token expira como um timestamp Unix. "iat" (issued at) marca o momento em que o token foi emitido. "sub" (subject) identifica o usuário ou entidade do token. Outros claims comuns incluem "iss" (issuer, quem emitiu o token), "aud" (audience, para quem é destinado) e "nbf" (not before, desde quando é válido).