Decodificador JWT
Decodifique e inspecione tokens JWT (JSON Web Token) instantaneamente. Visualize o cabeçalho e o payload de qualquer token JWT. Grátis e privado.
O que é o Decodificador JWT?
O Decodificador JWT é uma ferramenta online gratuita que decodifica tokens JSON Web Token (JWT) e exibe o cabeçalho e o payload em formato JSON legível por humanos. Ele detecta automaticamente e mostra o status de expiração do token lendo a claim exp, ajudando desenvolvedores a determinar rapidamente se um token ainda é válido. Toda a decodificação acontece inteiramente no seu navegador, então seus tokens sensíveis nunca são transmitidos pela rede.
Como usar este Decodificador JWT?
- Cole seu token JWT completo (todas as três partes codificadas em Base64 separadas por pontos) no campo de entrada.
- Clique no botão Decodificar JWT para analisar a estrutura do token.
- Revise o cabeçalho decodificado para ver o algoritmo de assinatura e tipo de token.
- Examine o payload para ver todas as claims incluindo subject, issuer e dados personalizados.
- Verifique o indicador de status de expiração para ver se o token está atualmente válido ou expirado.
Dicas e boas práticas
Nunca Compartilhe Tokens de Produção
Mesmo que esta ferramenta processe tokens localmente, evite compartilhar tokens JWT de ambientes de produção em screenshots ou logs. Tokens podem conter informações sensíveis do usuário em seu payload, e um token não expirado pode ser usado para acesso não autorizado.
Entenda as Três Partes
Um JWT consiste em três partes codificadas em Base64URL separadas por pontos: o cabeçalho (algoritmo e tipo), o payload (claims e dados) e a assinatura (hash de verificação). Esta ferramenta decodifica as duas primeiras partes que não são criptografadas, apenas codificadas.
Verifique Expiração Regularmente
A claim exp contém o tempo de expiração do token como um timestamp Unix. Ao depurar problemas de autenticação, sempre verifique primeiro se o token expirou, pois esta é a causa mais comum de erros 401 Unauthorized em chamadas de API.
Procure Claims Personalizadas
Além das claims padrão como iss, sub e exp, muitas aplicações adicionam claims personalizadas como funções de usuário, permissões ou IDs de tenant. Entender essas claims personalizadas pode ajudá-lo a depurar problemas de autorização e controle de acesso de forma mais eficaz.
Casos de uso comuns
Depuração de API
Quando requisições de API retornam erros de autenticação, decodifique o JWT do cabeçalho Authorization para verificar se o token expirou, foi emitido para o público errado ou está faltando claims necessárias que a API espera.
Solução de Problemas de Fluxo OAuth
Durante a implementação de OAuth 2.0 e OpenID Connect, inspecione tokens de ID e tokens de acesso para verificar se o provedor de identidade está retornando os escopos, claims e valores de audiência corretos no payload do token.
Auditoria de Segurança
Revise tokens JWT para garantir que não contenham informações excessivas ou sensíveis em seu payload. Como payloads JWT são apenas codificados em Base64 (não criptografados), quaisquer dados no payload podem ser lidos por qualquer pessoa que intercepte o token.
FAQ
É seguro colar meu JWT aqui?
Sim. Toda a decodificação acontece localmente no seu navegador. Nenhum dado é enviado a nenhum servidor.
Esta ferramenta pode verificar assinaturas JWT?
Esta ferramenta decodifica e exibe o conteúdo do JWT. A verificação de assinatura requer a chave secreta, que não é necessária para inspeção.
Qual é a diferença entre JWS e JWE?
Tokens JWS (JSON Web Signature) têm um payload assinado mas legível, que é o que a maioria das pessoas quer dizer com JWT. Tokens JWE (JSON Web Encryption) têm um payload criptografado que não pode ser lido sem a chave de descriptografia. Esta ferramenta funciona com tokens JWS, que são de longe o tipo mais comum na prática.
Por que posso ler o payload sem a chave secreta?
Payloads JWT são codificados em Base64URL, não criptografados. A assinatura apenas garante que o token não foi adulterado; ela não esconde o conteúdo. Isso é por design, então nunca armazene informações verdadeiramente secretas em um payload JWT a menos que use criptografia JWE.
Quais são as claims JWT comuns?
Claims padrão incluem iss (emissor), sub (assunto/ID do usuário), aud (audiência), exp (tempo de expiração), nbf (não antes), iat (emitido em) e jti (ID do JWT). Aplicações frequentemente adicionam claims personalizadas para funções, permissões e outros dados específicos da aplicação.