Skip to main content

Decodificador e Verificador JWT Online – Decodifique e valide tokens

Decodificar JWT, verificar JWT, assinatura.
{ }
{ }
-
Assinatura: - Claims: - Geral: - 
{ }
-
Quer limpar o payload decodificado?

Use o Formatador JSON.

Abrir Formatador JSON

Ferramentas Relacionadas


Gerador JWT
Gerador de Strings Aleatórias
Conversor de Unix Timestamp
Conversor JSON para TOON

Entendendo a Decodificação de JWT

JSON Web Tokens (JWT) são tokens compactos e seguros para URL, usados para autenticação e troca de dados. Um JWT consiste em três partes separadas por pontos:

Cabeçalho.Payload.Assinatura
  • Cabeçalho – contém o tipo do token e o algoritmo de assinatura
  • Payload – inclui claims como ID do usuário, emissor e tempo de expiração
  • Assinatura – verifica se o token não foi modificado

Decodificar um JWT ajuda desenvolvedores a inspecionar valores e confirmar se um token é válido ou expirado.

Exemplo de Token JWT

Abaixo está um exemplo simples de um JWT:

        eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
        .
        eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNjAwMDAwMDAwLCJleHAiOjE5MDAwMDAwMDB9
        .
        SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Decodificado Cabeçalho
{
  "alg": "HS256",
  "typ": "JWT"
}

Isso mostra que o token usa HS256 e é um JWT padrão.

Decodificado Payload
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1600000000,
  "exp": 1900000000
}

Campos principais explicados:

  • sub – identificador do sujeito ou usuário
  • name – nome de exibição do usuário
  • iat – momento em que o token foi emitido
  • exp – timestamp de expiração após o qual o token se torna inválido

Verificação de Assinatura

A parte final do JWT é a assinatura, que garante:

  • o conteúdo do token não foi adulterado
  • o token foi emitido por uma fonte confiável

A verificação é realizada usando:

  • um segredo compartilhado para tokens HS256
  • uma chave pública de um endpoint JWKS para tokens RS256

Se a verificação falhar, o token não deve ser confiável.

Quando usar um Decodificador JWT

Desenvolvedores decodificam JWTs para:

  • depurar problemas de login ou autenticação
  • confirmar a expiração do token
  • inspecionar claims de provedores de identidade
  • validar assinaturas durante integrações de API

Esta ferramenta permite inspeção rápida e segura sem armazenar seus tokens.

Perguntas Frequentes (FAQ)

É uma string compacta para transmitir informações com segurança entre sistemas.

Converte o token em JSON legível para que você possa inspecionar o cabeçalho e os claims.

Não. Decodificar apenas revela o conteúdo.
A verificação checa a assinatura criptográfica para garantir que o token é genuíno.

Sim. Não armazenamos tokens. Evite compartilhar tokens de produção sensíveis publicamente.

Verifique o claim 'exp' no payload.
Se a hora atual for posterior a esse timestamp, o token é inválido.

É um endpoint público que fornece chaves para verificar tokens RS256.

Razões comuns incluem:

  • Segredo ou chave pública incorreta
  • Token modificado após a emissão
  • Algoritmo de assinatura errado
  • Token já expirado
We use analytics cookies to understand site usage and improve tools. See our Privacy Policy.