A descodificação verifica a assinatura?

Não. JWTs são assinados, não encriptados. Esta ferramenta descodifica o cabeçalho e o payload (que são Base64 simples) sem precisar da chave secreta. Para verificares a assinatura, precisas da chave que o emissor usou, e essa não é parte do token. A descodificação serve para inspeccionar conteúdo, não para validar autenticidade.

Posso ler claims sensíveis no JWT?

Sim, e é importante perceberes: o payload de um JWT está em texto simples (Base64), não encriptado. Quem tiver acesso ao token consegue ler tudo lá dentro. Não coloques palavras-passe, números de cartão ou dados pessoais sensíveis num JWT, mesmo que esteja assinado.

Que claims são standard?

iss (issuer, quem emitiu), sub (subject, a quem se refere), aud (audience, para quem é), exp (expiration, momento em que expira), nbf (not before, antes deste momento não é válido), iat (issued at, quando foi emitido), jti (identificador único do token). Outras claims podem ser personalizadas pela aplicação.

Descodificador JWT Grátis Online. Descodifica e Inspeciona Tokens

Token JWT

Cola um token para ver as partes descodificadas.

Sobre esta ferramenta

Descodifica um JSON Web Token e mostra o cabeçalho, o payload, as claims e o estado de validade. Útil para depurar autenticação, perceber que dados uma aplicação está a passar num token, conferir se um token expirou, ou simplesmente entender o que está dentro daquela string longa que apareceu nos cookies.

Como usar

Cola o JWT no campo de entrada.
Vê o cabeçalho (header) com o algoritmo e tipo, e o payload com as claims.
Confere o estado: se o token está expirado, ainda não é válido, ou está dentro do prazo.
Inspecciona claims standard (iss, sub, exp, iat) e personalizadas.

Perguntas frequentes

A descodificação verifica a assinatura?: Não. JWTs são assinados, não encriptados. Esta ferramenta descodifica o cabeçalho e o payload (que são Base64 simples) sem precisar da chave secreta. Para verificares a assinatura, precisas da chave que o emissor usou, e essa não é parte do token. A descodificação serve para inspeccionar conteúdo, não para validar autenticidade.
Posso ler claims sensíveis no JWT?: Sim, e é importante perceberes: o payload de um JWT está em texto simples (Base64), não encriptado. Quem tiver acesso ao token consegue ler tudo lá dentro. Não coloques palavras-passe, números de cartão ou dados pessoais sensíveis num JWT, mesmo que esteja assinado.
Que claims são standard?: iss (issuer, quem emitiu), sub (subject, a quem se refere), aud (audience, para quem é), exp (expiration, momento em que expira), nbf (not before, antes deste momento não é válido), iat (issued at, quando foi emitido), jti (identificador único do token). Outras claims podem ser personalizadas pela aplicação.

Ferramentas relacionadas

Desenvolvedor/Formatador de JSON Desenvolvedor/Gerador de UUID Desenvolvedor/Qual é o Meu IP Desenvolvedor/Texto para Slug Desenvolvedor/Gerador de Lorem Ipsum Desenvolvedor/Codificador / Descodificador Base64 Desenvolvedor/Testador de Regex Desenvolvedor/Visualizador JSON Desenvolvedor/Estimador de Tokens Desenvolvedor/Visualizador XML Desenvolvedor/Gerador de Blocos de Comentários Desenvolvedor/Conversor de Timestamp Unix Desenvolvedor/Conversor JSON, YAML, CSV Desenvolvedor/Visualizador e Editor de CSV Desenvolvedor/Visualizador e Editor de YAML Desenvolvedor/Visualizador de Algoritmos de Ordenação