JWT Decoder

Cole um JWT e veja instantaneamente seu header, payload e assinatura.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
O que é um JWT?

                
O JSON Web Token (JWT, RFC 7519) é um padrão aberto para transmitir claims entre duas partes de forma segura e compacta. JWTs são usados em APIs web modernas para autenticação e autorização — por exemplo, após o login para identificar o usuário em cada requisição subsequente.

                
Importante: Um JWT não é criptografado, apenas assinado. Qualquer pessoa que possua o token pode ler seu conteúdo. Nunca armazene senhas ou dados sensíveis no payload.


                
Estrutura de um JWT

                
    
                    
  • Header — descreve o tipo de token (typ) e o algoritmo de assinatura (alg), por exemplo HS256, RS256.
    • 
                    
  • Payload — contém os claims (dados) como JSON, codificado em base64url. Permite claims padrão e personalizados.
    • 
                    
  • Assinatura — assinatura criptográfica sobre header + payload, gerada com o algoritmo definido em alg.
    • 
                


                
Claims padrão (RFC 7519)

                
    
                    
  • iss — Issuer (quem emitiu o token)
    • 
                    
  • sub — Subject (geralmente o ID do usuário)
    • 
                    
  • aud — Audience (destinatário pretendido do token)
    • 
                    
  • exp — Expiration Time (expiração como Unix timestamp)
    • 
                    
  • iat — Issued At (quando o token foi emitido)
    • 
                    
  • nbf — Not Before (não válido antes deste momento)
    • 
                


                
Esta ferramenta é segura?

                
Sim. A decodificação acontece inteiramente no seu navegador com JavaScript. Nenhum token é enviado a um servidor e nada é registrado. Você pode inspecionar a implementação a qualquer momento nas ferramentas de desenvolvedor do navegador. Ainda assim, cole tokens de produção apenas em ambientes confiáveis.