Decodificador JWT
Cole um JWT para inspecionar header, payload e claims. A decodificação acontece totalmente no seu navegador — seu token nunca é enviado a um servidor.
Decodificado localmente no seu navegador. Nada é enviado a lugar algum.
Header
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}Signature
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Verificar a assinatura requer o secret ou a chave pública. Esta ferramenta não verifica assinaturas — apenas decodifica.
O que é um JWT?
Um JSON Web Token (JWT) é uma forma compacta e URL-safe de transmitir claims entre duas partes. Tem três partes — header, payload e signature — separadas por pontos. O header e payload são JSON codificados em base64url. A assinatura é calculada com o algoritmo do header e um secret ou chave privada, permitindo ao receptor verificar que o token não foi alterado. JWTs são usados para autenticação e troca de informações em APIs REST.
Claims JWT comuns
issIssuer (emissor)Quem emitiu o token — geralmente uma URL do servidor de auth.
subSubject (assunto)Sobre quem é o token — geralmente o ID do usuário.
audAudience (audiência)Para quem o token é — a API ou serviço que deve aceitá-lo.
expExpiration (expiração)Timestamp Unix após o qual o token não deve ser aceito.
nbfNot Before (não antes)Timestamp Unix antes do qual o token não deve ser aceito.
iatIssued At (emitido em)Timestamp Unix de quando o token foi emitido.
jtiJWT IDIdentificador único do token — útil para prevenir ataques de replay.
FAQ do decodificador JWT
É seguro colar meu JWT aqui?
Sim. A decodificação ocorre totalmente no seu navegador com JavaScript — o token nunca é enviado ao nosso servidor. Pode verificar abrindo DevTools → Network enquanto decodifica. Ainda assim, evite colar tokens de produção em qualquer decodificador online.
Esta ferramenta verifica a assinatura?
Não. Verificar assinatura requer o secret ou chave pública, que você nunca deve colar numa ferramenta online. Verifique no seu próprio backend com a chave pública do emissor (assimétrico) ou seu secret compartilhado.
Quais algoritmos esta ferramenta suporta?
Todos. A ferramenta só decodifica as partes JSON base64url, então funciona com qualquer algoritmo (HS256, RS256, ES256, EdDSA, etc.). O algoritmo aparece no header — veja o campo `alg`.
Por que meu token é mais curto que outros?
O tamanho do JWT depende do conteúdo do payload (mais claims = mais longo) e do algoritmo de assinatura (assinaturas RSA são mais longas que HMAC). Um token compacto com poucas claims assinado com HS256 pode ter menos de 200 caracteres. Tokens com muitas claims ou assinaturas RSA geralmente passam dos 500.
Qual a diferença entre JWT e JWS/JWE?
JWS (JSON Web Signature) é assinado mas não criptografado — qualquer um pode ler o payload. JWE (JSON Web Encryption) criptografa o payload. A maioria dos "JWTs" na prática são JWS — assinados mas visíveis. Esta ferramenta decodifica JWS. JWEs criptografados não podem ser decodificados sem a chave.