All Tools / Ferramentas de Desenvolvedor / Decodificador de JWT — Decode JSON Web Tokens Online
Token Codificado
Decodificado
Header 
Header decodificado aparece aqui.
Payload 
Payload decodificado aparece aqui.
Claims Decodificados clique numa linha para localizar no payload
Os claims aparecem aqui com descrições legíveis.
Signature 
Info da signature aparece aqui.
Toda a decodificação de JWT roda 100% no seu navegador. Seus tokens nunca saem do seu dispositivo.

Decodificador de JWT — Decode JSON Web Tokens Online

O que é um JWT?

Um JSON Web Token (JWT) é um formato de token compacto e URL-safe usado para transmitir informações entre partes. Três partes separadas por ponto: Header (algoritmo e tipo), Payload (claims e dados) e Signature (verificação). Sistemas de autenticação, fluxos OAuth e API gateways usam JWT para passar identidade e dados de autorização sem precisar consultar um session store a cada requisição.

Como usar

  1. Cole seu token no painel Token Codificado à esquerda.
  2. O Header mostra o algoritmo de assinatura (HS256, RS256, etc.) e o tipo do token.
  3. O Payload mostra os claims: dados do usuário, expiração, scopes, qualquer coisa que o emissor incluiu.
  4. A tabela Claims Decodificados adiciona descrições legíveis para os claims padrão (iss, sub, aud, exp, iat…). Clique numa linha para destacar a chave correspondente no Payload acima.
  5. O badge de expiração na toolbar mostra se o token é válido, expirou, ou não tem claim exp.

Perguntas Frequentes

Este decodificador verifica a assinatura do JWT?

Não. Verificar a assinatura exige a chave secreta (HS256) ou a chave pública (RS256), e aceitar essas chaves em uma ferramenta de navegador anularia o propósito de mantê-las privadas. Este decodificador analisa e exibe o header, o payload e as claims para você inspecionar o conteúdo do token, mas a linha da assinatura mostra apenas o valor bruto.

Por que meu JWT aparece como 'Invalid'?

Um JWT deve ter exatamente três partes separadas por pontos: header.payload.signature. As causas mais comuns: copiar com espaços extras, faltar a terceira parte, ou erros de decodificação base64url quando o token foi corrompido no transporte. Copie novamente da origem e cole de novo.

A ferramenta vê meu JWT?

Não. O decodificador roda no seu navegador usando atob() e JSON.parse() nativos. Seu token nunca é enviado a um servidor, nunca é registrado e nunca é armazenado. Abra a aba Network do DevTools ao colar um token para verificar — nenhuma requisição é feita.

Qual é a diferença entre iat, nbf e exp?

iat (issued at) é quando o token foi criado. nbf (not before) é o horário mais cedo em que o token pode ser aceito. exp (expiration) é quando o token deixa de ser válido. Os três são timestamps Unix em segundos, e esta ferramenta mostra o horário local legível abaixo de cada um.

Por que o algoritmo é exibido mas não há um check verde?

O decodificador exibe qualquer algoritmo que o header declare (HS256, RS256, ES256, etc.), mas não verifica se a assinatura confere. Um token com alg: none ou algoritmo incompatível ainda será decodificado aqui. Isso é proposital. A verificação pertence ao seu backend, não a uma ferramenta de navegador.

Related Guide

How to Decode a JWT Without Verifying the Signature →