Decodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com tempos de expiração e emissão legíveis. Roda inteiramente no seu navegador; tokens nunca são enviados.
Como usar Decodificador JWT
Cole um JWT no formato cabeçalho.payload.assinatura.
Leia o cabeçalho e o payload decodificados como JSON formatado.
Verifique os tempos de expiração e emissão, e se o token já expirou.
Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64URL, um payload codificado em Base64URL, e uma assinatura. Este decodificador separa e decodifica as duas primeiras partes instantaneamente no seu navegador, para você ler o que um token realmente contém.
O uso mais comum é inspecionar um token que uma API retornou: quem o emitiu (iss), quando ele expira (exp), quais permissões ele carrega (scope ou roles), e se ele já expirou.
A ferramenta pega os segmentos de cabeçalho e payload e decodifica o conteúdo Base64URL deles de volta para JSON legível. Nada é enviado para lugar nenhum: a separação e a decodificação acontecem localmente no momento em que você cola um token.
A expiração é mostrada em horário local legível, não em um timestamp Unix bruto, para você ver num relance se o token ainda é válido. O mesmo vale para outras informações de tempo como iat e nbf, que viram datas que você realmente consegue interpretar.
Esta ferramenta decodifica e exibe, ela não verifica a assinatura contra uma chave secreta. Qualquer um consegue ler o payload de um JWT sem uma chave, porque só a assinatura é protegida, não o conteúdo.
Para a verificação de assinatura você precisa do segredo de assinatura ou da chave pública, que nunca deve ser inserida em uma ferramenta baseada em navegador. Não cole segredos aqui.
O token nunca sai do seu dispositivo. Toda a decodificação funciona no seu navegador, então nada do que você cola é enviado ou armazenado.
Perguntas frequentes
Não. Decodifica e exibe o cabeçalho e o payload. Verificar a assinatura requer o segredo de assinatura ou a chave pública, que você não deve colar em nenhuma ferramenta web.
Decodificar lê o cabeçalho e o payload em Base64url, que não são criptografados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.
A decodificação acontece inteiramente no seu navegador, então o token não é enviado. Mesmo assim, trate tokens ativos como segredos e evite colá-los em computadores compartilhados.
São claims padrão: iat é issued-at (emitido em), nbf é not-valid-before (não válido antes de) e exp é o tempo de expiração. O decodificador converte esses timestamps Unix para horário local legível.
Sim. A expiração não muda como um token é decodificado, então você pode inspecionar as claims de um token expirado e ver exatamente quando ele venceu.
Um JWT é assinado, não criptografado. O payload é apenas codificado em Base64url, então qualquer pessoa pode lê-lo. Nunca coloque segredos no payload de um JWT.
Incorpore esta ferramenta
Adicione esta ferramenta ao seu próprio site. Copie o trecho abaixo; ele se mantém atualizado automaticamente.
<iframe src="https://monu.tools/embed/pt-BR/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Ferramentas relacionadas
Codifique texto para Base64 ou decodifique Base64 de volta para texto. Seguro para UTF-8 com detecção automática de direção.
Codifique e decodifique URLs e componentes de URL com percent-encoding, seguro para UTF-8.
Gere hashes SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, diretamente no seu navegador.
Gere um HMAC para uma mensagem e chave secreta usando SHA-1, SHA-256, SHA-384 ou SHA-512, no navegador.