Global
BrasilPortugalEspañaMéxicoArgentinaUnited StatesUnited KingdomIndiaItaliaFranceDeutschland
95+ ferramentas no site
← voltar

Decodificador JWT

Decodifique e inspecione tokens JWT (JSON Web Token) — header, payload e assinatura. Grátis.

O que é esta ferramenta?

O Decodificador JWT separa header e payload para inspeção de claims durante debug de autenticação. Decodificar ajuda a ler o token, mas não valida a assinatura.

Como usar

  1. Cole um JWT de teste, expirado ou com dados redigidos.
  2. Confira issuer, audience, subject, expiração e escopos no payload decodificado.
  3. Valide assinatura e permissões apenas no backend ou provedor de identidade confiável.
Header
Payload
Info
Exemplo prático
Um payload decodificado ajuda a entender se um token de homologação expirou ou tem audience incorreta.
Header: { "alg": "RS256", "typ": "JWT" }
Payload: { "sub": "usuario-teste", "aud": "api-homolog", "exp": 1893456000 }
Lembrete: decodificar não valida assinatura.
API
Exemplos de API devem usar tokens fictícios ou redigidos. Nunca publique bearer tokens reais.
Quando usar
AUTH
Debug de login
Inspecione claims em fluxos de login e refresh.
TIME
Expiração
Converta exp e iat para entender a validade do token.
API
Integração
Documente claims esperadas sem expor credenciais.
QA
Fixtures
Revise tokens de teste usados em testes automatizados.
Ferramentas relacionadas
Privacidade
Não cole tokens de produção, cookies de sessão, API keys ou credenciais. Use amostras seguras, fictícias ou redigidas.
Perguntas frequentes
Decodificar um JWT valida o token?
Não. Decodificar apenas lê header e payload. A validação precisa da chave correta e de código confiável.
Posso colar token de produção?
Não. Use token de homologação, expirado, redigido ou de teste.
Quais campos conferir primeiro?
Comece por iss, aud, sub, exp, iat e escopos ou roles. Depois valide assinatura no backend.
Limitações / quando não usar
Não confie em um JWT só porque ele foi decodificado. Tokens sem assinatura válida também podem ser lidos.