Decodificador JWT

Decodifique e inspecione o cabeçalho e o payload de um token JWT.

Cabeçalho

    
Payload

    

O Decodificador JWT do ToolsSoup é uma ferramenta online gratuita que decodifica um JSON Web Token e mostra seu cabeçalho e payload como JSON limpo e legível — instantaneamente e inteiramente no seu navegador. Seu token nunca é enviado nem registrado, então você pode inspecionar com segurança as informações dentro de qualquer JWT sem que ele saia do seu dispositivo.

O que é um JWT?

Um JSON Web Token (JWT) é uma forma compacta e segura para URLs de representar informações entre duas partes, usada com mais frequência para autenticação e autorização. É composto por três partes codificadas em Base64URL e separadas por pontos: um cabeçalho que descreve o algoritmo de assinatura, um payload que contém as informações (como o ID do usuário e o horário de expiração) e uma assinatura usada para verificar que o token não foi adulterado.

Como decodificar um JWT online

Inspecionar um token com o ToolsSoup leva apenas alguns segundos:

  1. Cole seu JWT na caixa de entrada. Ele deve ter o formato xxxxx.yyyyy.zzzzz.
  2. Clique em Decodificar para revelar o cabeçalho e o payload como JSON formatado.
  3. Leia as informações e copie qualquer uma das seções com um clique.

Esta ferramenta verifica a assinatura do JWT?

Não. Esta ferramenta decodifica e exibe o conteúdo de um token — ela não verifica a assinatura, porque a verificação exige a chave secreta ou pública que assinou o token. Decodificar mostra o que um token afirma; verificar prova que essas afirmações são autênticas. Sempre verifique as assinaturas no servidor antes de confiar em um token e nunca tome decisões de segurança baseadas apenas nas informações decodificadas.

Por que usar este decodificador JWT?

  • 100% gratuito, sem anúncios, cadastro ou limites de uso.
  • Roda inteiramente no seu navegador — seu token nunca é enviado a um servidor.
  • Mostra o cabeçalho e o payload como JSON limpo e indentado.
  • Suporte total a Unicode para informações com caracteres não-ASCII.
  • Funciona offline depois que a página é carregada.

Perguntas frequentes

Este decodificador JWT é gratuito?

Sim. Todas as ferramentas do ToolsSoup são totalmente gratuitas, sem conta, cadastro ou limites ocultos.

É seguro colar meu JWT aqui?

Sim. Toda a decodificação acontece localmente no seu navegador usando JavaScript, então seu token nunca é enviado nem armazenado em nenhum servidor. Ainda assim, trate qualquer JWT como um segredo e evite compartilhá-lo onde outras pessoas possam ver sua tela.

Esta ferramenta verifica a assinatura do token?

Não. Ela apenas decodifica o cabeçalho e o payload. Verificar a assinatura exige a chave de assinatura e deve ser feito no servidor antes de confiar em um token.

Os JWTs são criptografados?

Os JWTs assinados padrão não são criptografados — eles são apenas codificados em Base64URL, então qualquer pessoa pode ler o payload. Nunca coloque dados sensíveis em um JWT, a menos que esteja usando um JWT criptografado (JWE).

Por que estou recebendo um erro de 'JWT inválido'?

Um JWT deve ter exatamente três partes separadas por pontos, e cada parte deve ser um JSON válido codificado em Base64URL. As causas mais comuns são um token copiado com uma seção faltando, espaços em branco extras ou colar apenas parte do token.