Monu Tools

Decodificador de JWT

Decodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com tempos de expiração e emissão legíveis. Roda inteiramente no seu navegador; tokens nunca são enviados.

Como usar Decodificador JWT

  1. 01

    Cole um JWT no formato cabeçalho.payload.assinatura.

  2. 02

    Leia o cabeçalho e o payload decodificados como JSON formatado.

  3. 03

    Verifique os tempos de expiração e emissão, e se o token já expirou.

O que um decodificador de JWT mostra a você

Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64URL, um payload codificado em Base64URL, e uma assinatura. Este decodificador separa e decodifica as duas primeiras partes instantaneamente no seu navegador, para você ler o que um token realmente contém.

O uso mais comum é inspecionar um token que uma API retornou: quem o emitiu (iss), quando ele expira (exp), quais permissões ele carrega (scope ou roles), e se ele já expirou.

Como a decodificação funciona

A ferramenta pega os segmentos de cabeçalho e payload e decodifica o conteúdo Base64URL deles de volta para JSON legível. Nada é enviado para lugar nenhum: a separação e a decodificação acontecem localmente no momento em que você cola um token.

Lendo expiração e timestamps

A expiração é mostrada em horário local legível, não em um timestamp Unix bruto, para você ver num relance se o token ainda é válido. O mesmo vale para outras informações de tempo como iat e nbf, que viram datas que você realmente consegue interpretar.

Decodificar não é verificar

Esta ferramenta decodifica e exibe, ela não verifica a assinatura contra uma chave secreta. Qualquer um consegue ler o payload de um JWT sem uma chave, porque só a assinatura é protegida, não o conteúdo.

Para a verificação de assinatura você precisa do segredo de assinatura ou da chave pública, que nunca deve ser inserida em uma ferramenta baseada em navegador. Não cole segredos aqui.

Privacidade

O token nunca sai do seu dispositivo. Toda a decodificação funciona no seu navegador, então nada do que você cola é enviado ou armazenado.

Perguntas frequentes

Verifica a assinatura?

Não. Decodifica e exibe o cabeçalho e o payload. Verificar a assinatura requer o segredo de assinatura ou a chave pública, que você não deve colar em nenhuma ferramenta web.

Qual é a diferença entre decodificar e verificar?

Decodificar lê o cabeçalho e o payload em Base64url, que não são criptografados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.

É seguro colar o meu token aqui?

A decodificação acontece inteiramente no seu navegador, então o token não é enviado. Mesmo assim, trate tokens ativos como segredos e evite colá-los em computadores compartilhados.

O que significam exp, iat e nbf?

São claims padrão: iat é issued-at (emitido em), nbf é not-valid-before (não válido antes de) e exp é o tempo de expiração. O decodificador converte esses timestamps Unix para horário local legível.

Posso decodificar um token expirado?

Sim. A expiração não muda como um token é decodificado, então você pode inspecionar as claims de um token expirado e ver exatamente quando ele venceu.

Por que o meu payload é legível sem uma chave?

Um JWT é assinado, não criptografado. O payload é apenas codificado em Base64url, então qualquer pessoa pode lê-lo. Nunca coloque segredos no payload de um JWT.

Fontes

Incorpore esta ferramenta

Adicione esta ferramenta ao seu próprio site. Copie o trecho abaixo; ele se mantém atualizado automaticamente.

<iframe src="https://monu.tools/embed/pt-BR/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Ferramentas relacionadas