Handytool
Guia para desenvolvedores5 min de leituraAtualizado 24 de fev. de 2026

Utilitário Instantâneo para Devs

Decodifique Qualquer JWT e Inspecione Seus Claims Instantaneamente

O decodificador JWT do Handytool divide qualquer JSON Web Token em seu header, payload e claims — com verificação de expiração e timestamps legíveis — tudo no seu navegador, sem tocar em nenhum servidor.

Abrir Decodificador JWTTodos os artigos

Pontos-chave

  • 01Decodifique qualquer JWT e inspecione header, payload e claims padrão em um único paste.
  • 02Os claims exp, nbf e iat são convertidos para timestamps legíveis com tags de válido/expirado.
  • 03A decodificação é totalmente local — segura para colar tokens reais de produção durante a depuração.
  • 04O decodificador não verifica assinaturas — isso deve acontecer no servidor com a chave do emissor.

Por Que Você Precisa de um Decodificador JWT

JSON Web Tokens parecem ruído aleatório até você perceber que são três segmentos codificados em Base64URL separados por pontos. O primeiro segmento é o header (algoritmo e tipo de token), o segundo é o payload (os claims: ID do usuário, funções, expiração), e o terceiro é a assinatura. Ao depurar um problema de autenticação, uma sessão expirada ou uma integração OAuth quebrada, a primeira coisa que você precisa fazer é ler o payload.

Fazer isso manualmente significa dividir nos pontos, decodificar Base64URL e depois converter timestamps Unix em datas legíveis. O decodificador JWT do Handytool faz tudo isso automaticamente e adiciona tags de validade nos claims de tempo para você ver rapidamente se um token ainda está ativo.

Como Decodificar um Token JWT

  1. 01

    Copie o JWT

    Pegue o token do DevTools do seu navegador (Application > Cookies, ou o painel Network no header Authorization), de um arquivo de log ou do seu cliente API.

  2. 02

    Cole no decodificador

    Cole o token completo — incluindo todos os três segmentos separados por pontos — na caixa de entrada. O decodificador identifica os segmentos automaticamente.

  3. 03

    Leia o header e payload

    A ferramenta divide o token e exibe o header (algoritmo, tipo) e payload (todos os claims) como JSON formatado.

  4. 04

    Verifique os claims de tempo

    Os timestamps Unix exp (expiração), nbf (não-antes) e iat (emitido-em) são convertidos para datas ISO. O decodificador marca exp como verde (válido) ou vermelho (expirado) em relação à sua hora local atual.

Claims Padrão JWT Explicados

Esses nomes de claims registrados aparecem na maioria dos JWTs.

  • 01iss (Emissor) — identifica quem criou o token, tipicamente uma URL ou nome de serviço.
  • 02sub (Assunto) — o principal que o token representa, geralmente um ID de usuário.
  • 03aud (Audiência) — o(s) destinatário(s) pretendido(s) do token; seu servidor deve rejeitar tokens destinados a outros.
  • 04exp (Expiração) — timestamp Unix após o qual o token deve ser rejeitado.
  • 05nbf (Não Antes) — timestamp Unix antes do qual o token deve ser rejeitado.
  • 06iat (Emitido Em) — timestamp Unix quando o token foi criado; útil para detectar tokens antigos.

Seguro Colar Tokens Reais Durante a Depuração

A decodificação JWT acontece inteiramente no seu navegador usando a função nativa atob e JSON.parse. Nada é transmitido para nenhum servidor — seu token é decodificado na memória e exibido localmente. Você pode colar com segurança tokens de acesso reais e tokens de sessão de ambientes de desenvolvimento ou staging para depurar fluxos de autenticação.

Dito isso, trate JWTs como senhas. Eles concedem acesso aos seus sistemas por toda a sua vida útil. Não cole tokens de produção de contas com altos privilégios em nenhuma ferramenta a menos que você tenha confiança nas garantias de privacidade da ferramenta — e sempre rotacione um token se você acreditar que ele pode ter sido exposto.

Perguntas Frequentes sobre o Decodificador JWT

O que é um JWT?

Um JSON Web Token é um formato compacto e seguro para URL consistindo em três segmentos codificados em Base64URL (header, payload, assinatura) separados por pontos. JWTs carregam claims — afirmações sobre um usuário ou sessão — e são usados para autenticação, autorização e acesso à API.

Este decodificador verifica a assinatura do JWT?

Não. O decodificador apenas analisa o header e payload. A verificação de assinatura requer a chave secreta ou pública do emissor e deve acontecer no código da sua aplicação usando uma biblioteca confiável.

É seguro colar um token de acesso real aqui?

A decodificação é totalmente local — o token nunca é transmitido. No entanto, JWTs concedem acesso real, então trate-os como senhas. Não os compartilhe, não os confirme no controle de fonte e rotacione-os se eles podem ter sido expostos.

O que significa o claim exp?

exp é o timestamp de expiração — um inteiro Unix representando o momento em que o token deixa de ser válido. O decodificador o converte para uma data ISO legível e o marca como válido ou expirado em relação à sua hora local atual.

Por que o payload JWT é visível sem uma chave?

Payloads JWT são codificados em Base64URL, não criptografados. Eles são projetados para serem legíveis — a assinatura apenas prova autenticidade, não confidencialidade. Nunca coloque dados verdadeiramente secretos em um payload JWT a menos que você use JSON Web Encryption (JWE).

O decodificador é gratuito?

Sim. O Handytool é gratuito sem cadastro, sem limites de taxa e sem coleta de dados.

Ferramentas relacionadas

Continua a trabalhar com ferramentas de Utilitário

ferramentas de Utilitário