Decodificador JWT

Decodifique localmente cabeçalho e payload de um JSON Web Token. Ler claims não verifica a assinatura.

token.jwt
decoded.json
Cole um JWT para descodificar o header e payload. A descodificação não verifica a assinatura.

Relacionado

Guias para JWT Decode

Todos os guias →
Guia

Privacy: JSON Tools That Don't Leave Your Browser

JSON, JWT, and Base64 tools that process every byte locally in your browser tab — no upload endpoint, no server-side logs of pasted payloads.

Guia

Como decodificar strings Base64 (e payloads JWT)

Base64 é uma codificação reversível, não criptografia. Decodifique em um passo, trate Unicode corretamente e leia as seções de JWT que usam Base64url.

Guia

Valide o JSON antes das requisições de API

Uma validação rápida antes de enviar uma requisição de API ajuda a separar problemas de sintaxe JSON de erros de autenticação, schema e backend.

Decodificar um JSON Web Token (JWT)

Um JWT é composto por três segmentos codificados em Base64url e separados por pontos : header.payload.signature. Cole o token e clique em Decode para ler o header e o payload como JSON. Todo o processamento ocorre no seu navegador —— o token não vai para nenhum servidor, o que é importante porque JWTs costumam carregar claims de identidade e sessão.

Não importa se você pesquisa decode jsonwebtoken (uma palavra), jwt decode ou json web token decoder : a ferramenta segue o mesmo procedimento : divide pelos pontos, decodifica os dois primeiros segmentos em Base64url e mostra o resultado como JSON.

Decodificar não é verificar

Qualquer pessoa pode decodificar um JWT —— não é necessário nenhum segredo, porque o payload é apenas codificado, não criptografado. A decodificação apenas mostra o que o token afirma ; não prova que é autêntico. Verifique sempre a assinatura no servidor usando sua chave secreta ou pública antes de confiar em qualquer claim, e nunca coloque senhas ou segredos no payload de um JWT.

Claims comuns

  • iss emissor · sub sujeito · aud audiência
  • exp expiração · iat emitido em · nbf não antes de (timestamps Unix)

Para mais detalhes, veja Como decodificar um JWT e Por que Base64 não é criptografia. Para inspecionar segmentos manualmente, use o decodificador Base64.

FAQ

Esta ferramenta verifica a assinatura do JWT?

Não. A decodificação apenas mostra o que o token afirma ; não prova autenticidade. Verifique sempre a assinatura no servidor usando sua chave secreta ou pública antes de confiar em qualquer claim, e nunca armazene informações sensíveis no payload de um JWT.