Handytool
UtilitárioRoda localmente

Decodificador JWT

Decodifique JSON Web Tokens e inspecione seu cabeçalho, payload e afirmações — tudo no seu navegador, nunca enviado para um servidor.

JWT
0 linhas0 bytes
Decodificado
0 linhas0 bytes

O Handytool decodifica apenas o cabeçalho e o payload. As assinaturas devem ser verificadas no lado do servidor com a chave do emissor.

Sobre Decodificador JWT

O decodificador JWT do Handytool analisa qualquer JSON Web Token em seu cabeçalho e payload, destaca as afirmações padrão (iss, sub, aud, iat, exp, nbf) e mostra se o token já expirou. Como a decodificação é puramente local, você pode colar tokens de acesso reais e tokens de sessão sem que saiam do seu dispositivo. Útil ao depurar fluxos de autenticação, integrações OAuth ou APIs de terceiros que retornam JWTs de aspecto opaco.

Recursos de Decodificador JWT

  • 01

    Cabeçalho, payload e afirmações em um relance

    O decodificador divide seu JWT em seus três segmentos, formata bonito o cabeçalho e o payload como JSON e mostra afirmações padrão — algoritmo, assunto, emissor, audiência, emitido-em, expiração — em um resumo compacto acima da saída bruta.

  • 02

    Verificações de expiração e tempo

    A afirmação exp é traduzida para um timestamp ISO e marcada como válida ou expirada em relação ao seu relógio atual. O mesmo para nbf (não-antes) e iat (emitido-em). Sem mais conversões manuais de Unix para Data.

  • 03

    Apenas decodificador — nunca carregado

    Tokens são decodificados no seu navegador usando atob nativo. Nada é jamais enviado para um servidor. Seguro para colar JWTs de produção, tokens de acesso de API ou cookies de sessão ao depurar.

Perguntas frequentes sobre Decodificador JWT

O que é um JWT?
Um JSON Web Token é um formato de token compacto e seguro para URL feito de três segmentos codificados em Base64URL separados por pontos: um cabeçalho (algoritmo e tipo), um payload (as afirmações) e uma assinatura. JWTs são amplamente usados para autenticação, autorização e acesso de API de curta duração.
Este decodificador verifica a assinatura?
Não. O decodificador apenas analisa o cabeçalho e o payload para mostrar o que está dentro. A verificação de assinatura requer o segredo do emissor ou chave pública, que deve permanecer no seu servidor — nunca cole em uma ferramenta web. Verifique assinaturas no lado do servidor em seu aplicativo.
É seguro colar um JWT real aqui?
A decodificação acontece completamente no seu navegador — o token nunca é transmitido. No entanto, JWTs não são criptografados (qualquer um com o token pode ler as afirmações), então trate-os como senhas: não os compartilhe, não os faça commit, e rotacione se vazarem.
Por que a assinatura é mostrada mas não verificada?
A assinatura é exibida para que você possa compará-la com o que seu servidor produz durante a depuração. A verificação real requer a chave de assinatura (segredo HMAC ou chave pública RSA/EC), que o decodificador não tem acesso e não deveria.
O que significa "exp"?
exp é a afirmação de expiração — um timestamp Unix após o qual o token deve ser rejeitado. O decodificador o converte para um timestamp ISO e mostra uma tag verde se ainda estiver no futuro, ou uma tag vermelha se o token já expirou.

Ferramentas relacionadas

Utilitário

Explore outras ferramentas

Todas as ferramentas