Monu Tools

Descodificador de JWT

Descodifique um JSON Web Token para inspecionar o cabeçalho e o payload, com horas de expiração e emissão legíveis. Corre inteiramente no seu navegador; os tokens nunca são carregados.

Como usar o/a Descodificador de JWT

  1. 01

    Cole um JWT no formato cabeçalho.payload.assinatura.

  2. 02

    Leia o cabeçalho e o payload descodificados como JSON formatado.

  3. 03

    Verifique as horas de expiração e de emissão, e se o token expirou.

O que um descodificador de JWT lhe mostra

Um JSON Web Token tem três partes separadas por pontos: um cabeçalho codificado em Base64URL, um payload codificado em Base64URL, e uma assinatura. Este descodificador divide e descodifica as duas primeiras partes instantaneamente no seu navegador, para poder ler o que um token realmente contém.

O uso mais comum é inspecionar um token que uma API devolveu: quem o emitiu (iss), quando expira (exp), que permissões carrega (scope ou roles), e se já expirou.

Como funciona a descodificação

A ferramenta pega nos segmentos do cabeçalho e do payload e descodifica os seus conteúdos Base64URL de volta para JSON legível. Nada é enviado para lado nenhum: a divisão e a descodificação acontecem localmente no momento em que colas um token.

Ler a expiração e os timestamps

A expiração é mostrada em hora local legível, não num timestamp Unix em bruto, para ver num relance se o token ainda é válido. O mesmo se aplica a outras claims de tempo como iat e nbf, que se tornam datas que consegue mesmo interpretar.

Descodificar não é verificar

Esta ferramenta descodifica e apresenta, não verifica a assinatura contra uma chave secreta. Qualquer pessoa consegue ler o payload de um JWT sem uma chave, porque só a assinatura é protegida, não os conteúdos.

Para a verificação da assinatura precisa do segredo de assinatura ou da chave pública, que nunca deve ser introduzida numa ferramenta que corre no navegador. Não cole segredos aqui.

Privacidade

O token nunca sai do seu dispositivo. Toda a descodificação corre no seu navegador, por isso nada do que colas é carregado ou guardado.

Perguntas frequentes

Verifica a assinatura?

Não. Descodifica e mostra o cabeçalho e o payload. Verificar a assinatura precisa do segredo de assinatura ou da chave pública, que não deve colar em nenhuma ferramenta web.

Qual é a diferença entre descodificar e verificar?

Descodificar lê o cabeçalho e o payload em Base64url, que não estão cifrados. Verificar recalcula a assinatura com a chave para provar que o token é autêntico e não foi modificado.

É seguro colar o meu token aqui?

A descodificação acontece inteiramente no seu navegador, por isso o token não é carregado. Ainda assim, trate tokens ativos como segredos e evite colá-los em computadores partilhados.

O que significam exp, iat e nbf?

São claims padrão: iat é a hora de emissão, nbf é não-válido-antes e exp é a hora de expiração. O descodificador converte estes timestamps Unix em hora local legível.

Posso descodificar um token expirado?

Sim. A expiração não altera como um token é descodificado, por isso pode inspecionar os claims de um token expirado e ver exatamente quando caducou.

Porque é que o meu payload é legível sem uma chave?

Um JWT é assinado, não cifrado. O payload está apenas codificado em Base64url, por isso qualquer pessoa o pode ler. Nunca coloque segredos no payload de um JWT.

Fontes

Incorporar esta ferramenta

Adicione esta ferramenta ao seu próprio site. Copie o excerto abaixo; mantém-se atualizado automaticamente.

<iframe src="https://monu.tools/embed/pt/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Ferramentas relacionadas