Descodificador JWT
Inspecione o cabeçalho e os claims de um token JWT.
- Instantânea
- Grátis
- Privada (processada localmente)
- Sem registo
Veja o que o seu token transporta realmente
Um JWT parece ruído — na verdade é JSON codificado em base64url, legível por qualquer pessoa. Cole um token: a ferramenta separa e descodifica o cabeçalho e o payload, formata o JSON, converte os timestamps em datas e diz-lhe se o token expirou.
Anatomia de um JWT
| Parte | Conteúdo | Exemplo |
|---|---|---|
| Header | Algoritmo e tipo | {"alg":"HS256","typ":"JWT"} |
| Payload | Os claims (dados de negócio) | {"sub":"1234567890","exp":1716239022} |
| Assinatura | HMAC ou assinatura assimétrica | SflKxwRJ… (binário codificado) |
Os claims registados a conhecer
- iss (issuer): quem emitiu o token — o seu servidor de autenticação.
- sub (subject): a quem se refere — o identificador do utilizador.
- aud (audience): a quem se destina — a API que o deve aceitar.
- exp / nbf / iat: a janela de validade temporal, em timestamps Unix.
Lembrete de segurança: descodificar não é verificar. Um token de conteúdo plausível pode ser forjado; só a verificação de assinatura no servidor (com a chave e o algoritmo certos) faz fé. Não guarde segredos no payload: ele é público.
Perguntas frequentes
O que é um JWT?
Um JSON Web Token (RFC 7519) é um token compacto composto por três partes codificadas em base64url e separadas por pontos: um cabeçalho (algoritmo), um payload (os claims: identidade, expiração…) e uma assinatura que garante a sua integridade.
Descodificar um JWT é «quebrá-lo»?
Não. O cabeçalho e o payload não estão cifrados, apenas codificados em base64url: qualquer pessoa pode lê-los. A segurança do JWT assenta na assinatura, que impede a modificação, não a leitura.
Esta ferramenta verifica a assinatura?
Não, deliberadamente: descodifica e mostra o conteúdo, nada mais. A verificação da assinatura exige a chave secreta ou pública e deve ser feita no servidor. Nunca confie num token apenas pelo seu conteúdo descodificado.
O que significam exp, iat e nbf?
São timestamps Unix: exp = data de expiração, iat = data de emissão, nbf = data antes da qual o token é inválido. A ferramenta converte-os em datas legíveis e indica se o token expirou.
É prudente colar aqui um token real?
A descodificação é 100 % local; nada é transmitido. Por higiene, evite mesmo assim manipular tokens de produção válidos fora de ambientes seguros, e revogue qualquer token exposto por acidente.