Descodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com horas de expiração e emissão legíveis. Corre inteiramente no seu navegador; os tokens nunca são carregados.
Como usar o/a Descodificador de JWT
Cole um JWT no formato cabeçalho.payload.assinatura.
Leia o cabeçalho e o payload descodificados como JSON formatado.
Verifique as horas de expiração e de emissão, e se o token expirou.
Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64URL, um payload codificado em Base64URL, e uma assinatura. Este descodificador divide e descodifica as duas primeiras partes instantaneamente no seu navegador, para poder ler o que um token realmente contém.
O uso mais comum é inspecionar um token que uma API devolveu: quem o emitiu (iss), quando expira (exp), que permissões carrega (scope ou roles), e se já expirou.
A ferramenta pega nos segmentos do cabeçalho e do payload e descodifica os seus conteúdos Base64URL de volta para JSON legível. Nada é enviado para lado nenhum: a divisão e a descodificação acontecem localmente no momento em que colas um token.
A expiração é mostrada em hora local legível, não num timestamp Unix em bruto, para ver num relance se o token ainda é válido. O mesmo se aplica a outras claims de tempo como iat e nbf, que se tornam datas que consegue mesmo interpretar.
Esta ferramenta descodifica e apresenta, não verifica a assinatura contra uma chave secreta. Qualquer pessoa consegue ler o payload de um JWT sem uma chave, porque só a assinatura é protegida, não os conteúdos.
Para a verificação da assinatura precisa do segredo de assinatura ou da chave pública, que nunca deve ser introduzida numa ferramenta que corre no navegador. Não cole segredos aqui.
O token nunca sai do seu dispositivo. Toda a descodificação corre no seu navegador, por isso nada do que colas é carregado ou guardado.
Perguntas frequentes
Não. Descodifica e mostra o cabeçalho e o payload. Verificar a assinatura precisa do segredo de assinatura ou da chave pública, que não deve colar em nenhuma ferramenta web.
Descodificar lê o cabeçalho e o payload em Base64url, que não estão cifrados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.
A descodificação acontece inteiramente no seu navegador, por isso o token não é carregado. Ainda assim, trate tokens ativos como segredos e evite colá-los em computadores partilhados.
São claims padrão: iat é a hora de emissão, nbf é não-válido-antes e exp é a hora de expiração. O descodificador converte estes timestamps Unix em hora local legível.
Sim. A expiração não altera como um token é descodificado, por isso pode inspecionar os claims de um token expirado e ver exatamente quando caducou.
Um JWT é assinado, não cifrado. O payload está apenas codificado em Base64url, por isso qualquer pessoa o pode ler. Nunca coloque segredos no payload de um JWT.
Incorporar esta ferramenta
Adicione esta ferramenta ao seu próprio site. Copie o excerto abaixo; mantém-se atualizado automaticamente.
<iframe src="https://monu.tools/embed/pt/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Ferramentas relacionadas
Codifique texto em Base64 ou descodifique Base64 de volta em texto. Seguro em UTF-8 com deteção automática da direção.
Codifique e descodifique URLs e componentes de URL em percent-encoding, com segurança UTF-8.
Gere hashes SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, diretamente no seu navegador.
Gere um HMAC para uma mensagem e chave secreta usando SHA-1, SHA-256, SHA-384 ou SHA-512, no seu navegador.