Decodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com tempos de expiração e emissão legíveis. Roda inteiramente no seu navegador; tokens nunca são enviados.
Como usar Decodificador JWT
Cole um JWT no formato cabeçalho.payload.assinatura.
Leia o cabeçalho e o payload decodificados como JSON formatado.
Verifique os tempos de expiração e emissão, e se o token já expirou.
Perguntas frequentes
Não. Decodifica e exibe o cabeçalho e o payload. Verificar a assinatura requer o segredo de assinatura ou a chave pública, que você não deve colar em nenhuma ferramenta web.
Decodificar lê o cabeçalho e o payload em Base64url, que não são criptografados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.
A decodificação acontece inteiramente no seu navegador, então o token não é enviado. Mesmo assim, trate tokens ativos como segredos e evite colá-los em computadores compartilhados.
São claims padrão: iat é issued-at (emitido em), nbf é not-valid-before (não válido antes de) e exp é o tempo de expiração. O decodificador converte esses timestamps Unix para horário local legível.
Sim. A expiração não muda como um token é decodificado, então você pode inspecionar as claims de um token expirado e ver exatamente quando ele venceu.
Um JWT é assinado, não criptografado. O payload é apenas codificado em Base64url, então qualquer pessoa pode lê-lo. Nunca coloque segredos no payload de um JWT.
Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64url, um payload codificado em Base64url e uma assinatura. Este decodificador divide e decodifica as duas primeiras partes instantaneamente no seu navegador, e o token nunca sai do seu dispositivo.
O uso mais comum é inspecionar um token que uma API retornou: quem o emitiu (iss), quando expira (exp), quais permissões ele carrega (scope ou roles) e se já expirou. A expiração é mostrada em horário local legível, não como um timestamp Unix bruto, para que você veja de relance se o token ainda é válido.
Nota: esta ferramenta decodifica e exibe, não verifica a assinatura contra uma chave secreta. Para verificação de assinatura você precisa do segredo de assinatura ou da chave pública, que nunca deve ser inserida em uma ferramenta baseada em navegador.
Ferramentas relacionadas
Gere hashes SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, diretamente no seu navegador.
Converta cores entre HEX, RGB e HSL com uma prévia ao vivo.
Converta timestamps Unix para datas legíveis e vice-versa: UTC, local, ISO 8601 e tempo relativo. Segundos e milissegundos são detectados automaticamente.
Codifique e decodifique URLs e componentes de URL com percent-encoding, seguro para UTF-8.
Usamos cookies essenciais para o site funcionar. Com seu consentimento, também carregamos o Google AdSense, que define cookies de publicidade. Veja nossa política de privacidade.