Grátis online JWT Decoder
Decodifique e inspecione tokens JWT online. Visualize o Header, os claims do Payload e o status de expiração instantaneamente. 100% no lado do cliente — seu token nunca sai do navegador.
100% lado do cliente · Seus dados nunca saem do navegadorComo usar JWT Decoder
Cole seu JWT no campo de entrada. JWTs parecem três strings Base64url separadas por pontos: header.payload.signature.
- Clique em Decodificar ou pressione Ctrl/Cmd+Enter para analisar o token.
- O painel Header exibe o algoritmo e o tipo de token.
- O painel Payload mostra todos os claims, com o status de expiração destacado.
- A seção Signature exibe a assinatura bruta — a verificação não é realizada (requer sua chave secreta).
Use Carregar exemplo para experimentar um token de demonstração sem colar suas próprias credenciais.
Perguntas frequentes
O que é um JWT?
Um JSON Web Token (JWT) é um formato de token compacto e seguro para URLs, usado para autenticação e autorização. Consiste em três partes codificadas em Base64url separadas por pontos: um Header (algoritmo), um Payload (claims) e uma Signature (assinatura).
Esta ferramenta verifica a assinatura JWT?
Não. A verificação de assinatura requer a chave secreta e deve ocorrer no servidor. Esta ferramenta apenas decodifica o Header e o Payload — exibe os claims, mas não pode confirmar se o token foi assinado legitimamente.
Meu JWT é enviado para algum servidor?
Não. O token é decodificado inteiramente no seu navegador usando operações de string JavaScript. Nenhum dado é transmitido a um servidor externo.
O que significa "expirando em breve"?
Se o claim exp (expiração) do token estiver dentro de 5 minutos do horário atual, a ferramenta exibe um aviso de "Expirando em breve". Os tokens expiram no timestamp Unix exato definido em exp.
Por que a assinatura é exibida mas não verificada?
A verificação de assinaturas HMAC e RSA requer a chave secreta ou pública, que você nunca deve colar em uma ferramenta web. Os bytes da assinatura bruta são exibidos apenas para fins informativos.
Quais claims o Payload normalmente contém?
Claims registrados comuns incluem sub (sujeito), iat (emitido em), exp (expiração), nbf (não antes de), iss (emissor) e aud (audiência). Aplicações também adicionam claims privados personalizados específicos para suas necessidades.