Descodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com horas de expiração e emissão legíveis. Corre inteiramente no seu navegador; os tokens nunca são carregados.
Como usar o/a Descodificador de JWT
Cole um JWT no formato cabeçalho.payload.assinatura.
Leia o cabeçalho e o payload descodificados como JSON formatado.
Verifique as horas de expiração e de emissão, e se o token expirou.
Perguntas frequentes
Não. Descodifica e mostra o cabeçalho e o payload. Verificar a assinatura precisa do segredo de assinatura ou da chave pública, que não deve colar em nenhuma ferramenta web.
Descodificar lê o cabeçalho e o payload em Base64url, que não estão cifrados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.
A descodificação acontece inteiramente no seu navegador, por isso o token não é carregado. Ainda assim, trate tokens ativos como segredos e evite colá-los em computadores partilhados.
São claims padrão: iat é a hora de emissão, nbf é não-válido-antes e exp é a hora de expiração. O descodificador converte estes timestamps Unix em hora local legível.
Sim. A expiração não altera como um token é descodificado, por isso pode inspecionar os claims de um token expirado e ver exatamente quando caducou.
Um JWT é assinado, não cifrado. O payload está apenas codificado em Base64url, por isso qualquer pessoa o pode ler. Nunca coloque segredos no payload de um JWT.
Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64url, um payload codificado em Base64url e uma assinatura. Este descodificador divide e descodifica as duas primeiras partes de imediato no seu navegador, e o token nunca sai do seu dispositivo.
O uso mais comum é inspecionar um token que uma API devolveu: quem o emitiu (iss), quando expira (exp), que permissões transporta (scope ou roles) e se já expirou. A expiração é mostrada em hora local legível, não num timestamp Unix em bruto, para poder ver de relance se o token ainda é válido.
Nota: esta ferramenta descodifica e mostra, não verifica a assinatura contra uma chave secreta. Para a verificação da assinatura precisa do segredo de assinatura ou da chave pública, que nunca deve ser introduzido numa ferramenta baseada no navegador.
Ferramentas relacionadas
Gere hashes SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, diretamente no seu navegador.
Converta cores entre HEX, RGB e HSL com pré-visualização em direto.
Converta timestamps Unix em datas legíveis e vice-versa: UTC, local, ISO 8601 e tempo relativo. Segundos e milissegundos são detetados automaticamente.
Codifique e descodifique URLs e componentes de URL em percent-encoding, com segurança UTF-8.