pt

Descodificar token JWT

Descodifique um JSON Web Token localmente no navegador em JSON legível: cabeçalho e payload à vista, sem qualquer envio.

Processando localmente no seu dispositivo ...

0%

Seus arquivos nunca saíram do seu dispositivo

    Meu arquivo é enviado?

    Não. Tudo roda no seu navegador - o seu arquivo nunca sai do seu dispositivo. Como isso é verificável

    Sem envio100% local
    O conteúdo fica consigosem acesso de terceiros
    Servidores na AlemanhaRGPD desde a conceção
    Auditado externamenteTLS A+ · Cabeçalhos A+

    Um JSON Web Token (JWT, RFC 7519) é um token compacto formado por três partes separadas por pontos: cabeçalho, payload e assinatura. O cabeçalho e o payload são apenas JSON codificado em Base64URL (RFC 7515): não são um segredo, apenas uma notação segura para o transporte. Esta ferramenta separa as partes, descodifica o cabeçalho e o payload e mostra o JSON contido com indentação limpa. Num relance vê qual algoritmo está declarado e quais dados (claims) o token transporta.

    Importante e honesto: esta ferramenta apenas descodifica, não verifica a assinatura. Uma verificação real precisa do segredo ou da chave pública do emissor, que esta ferramenta de propósito nunca pede. Um token descodificado, portanto, ainda não é um token de confiança: o seu conteúdo pode ter sido adulterado. Use esta vista para compreender e depurar (que claims existem, quando exp expira, qual o iss), nunca como prova de autenticidade.

    Todo o processamento decorre inteiramente de forma local no navegador, em JavaScript puro: o token não é enviado, não é guardado e nenhuma biblioteca externa é carregada a partir de um CDN. Isto é decisivo justamente com os tokens, porque um token de acesso ou de identidade não pertence a um formulário online alheio. Se o que cola não for um JWT válido, a ferramenta diz isso com honestidade em vez de inventar um resultado errado.

    Ficha técnica

    Ficha técnica
    Formatos de entradaEntrada de texto
    Formato de saídaJSON
    Processamento em loteNão
    ProcessamentoLocalmente no navegador (JavaScript)
    Upload de arquivosNenhum

    Em 3 passos

    1. Cole o JWT no campo de texto.
    2. Clique em Descodificar.
    3. Leia ou descarregue o cabeçalho e o payload como JSON.

    Limites: Descodificação pura, sem verificação da assinatura: a ferramenta NÃO confirma que um token é autêntico ou inalterado, para isso seria preciso a chave do emissor. Também não verifica se o token expirou; apenas mostra os claims. Tokens cifrados (JWE) não são decifrados. O cabeçalho e o payload são apenas Base64URL, não cifragem, por isso nunca coloque segredos no payload.

    Perguntas frequentes

    O meu token é enviado?

    Não. A descodificação corre inteiramente de forma local no navegador; o token nunca sai do seu dispositivo e não é guardado.

    A ferramenta verifica a assinatura?

    Não. Só descodifica o cabeçalho e o payload. Verificar a assinatura precisa da chave do emissor, que esta ferramenta de propósito nunca pede. Um token descodificado não é um token de confiança.

    Um JWT está cifrado?

    Normalmente não. O cabeçalho e o payload estão apenas codificados em Base64URL, que qualquer pessoa pode reler. Por isso, não coloque segredos no payload.

    O que significam claims como exp, iat ou iss?

    Claims padrão: iss é o emissor, iat o momento de emissão, exp a expiração (em tempo Unix), sub o sujeito. A ferramenta mostra-os tal como estão; não os avalia.

    O que acontece com uma entrada inválida?

    Se o que cola não for um JWT válido (número de partes errado ou Base64URL danificado), a ferramenta indica um erro honesto em vez de produzir um resultado errado.

    Ferramentas relacionadas