RUNWEBTOOLS
Português

Decodificador de JWT

Decodifique e inspecione JSON Web Tokens.

Ao vivo — decodifica enquanto você digita

Usar em qualquer página (bookmarklet)

Quer usar Decodificador de JWT sem sair da página em que está? Arraste o botão abaixo para a sua barra de favoritos e clique nele em qualquer site para abrir Decodificador de JWT ali mesmo — roda inteiramente no seu navegador.

Decodificador de JWT← arraste este botão para a barra de favoritos

Use com responsabilidade: Um bookmarklet roda na página em que você o clica. Evite sites sensíveis como bancos online, pagamentos ou saúde — você o usa por sua conta e risco. Tudo é processado localmente e nenhum dado é enviado. Veja nossos Termos.

  1. Mostre a barra de favoritos se estiver oculta — Ctrl+Shift+B (+Shift+B no Mac).
  2. Arraste o botão acima para a barra de favoritos.
  3. Abra qualquer site e clique no favorito — o painel do Decodificador de JWT aparece no canto superior direito. Use ✛ para trocar de canto e ›/‹ para recolhê-lo na borda e puxá-lo de volta.
  4. Clique no favorito de novo (ou no ✕) para fechar.
Não consegue arrastar? Copie e crie um novo favorito com isto como URL:

Obs.: alguns sites com políticas de segurança rígidas podem bloquear bookmarklets.

Exemplos

Decodificar cabeçalho e payload

Entrada

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlJ1bldlYlRvb2xzIn0.abc

Saída

Header:  { "alg": "HS256", "typ": "JWT" }
Payload: { "sub": "1234567890", "name": "RunWebTools" }

Inspecionar o algoritmo e o papel

Entrada

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJyb2xlIjoiYWRtaW4ifQ.sig

Saída

Header:  { "alg": "RS256", "typ": "JWT" }
Payload: { "role": "admin" }

Sobre esta ferramenta

Este decodificador JWT online e gratuito lê um JSON Web Token e mostra seu cabeçalho e payload como JSON formatado, direto no seu navegador. Cole um token e ele decodifica ao vivo. Tudo roda localmente sem upload — seu token nunca sai do seu dispositivo.

Como usar

  1. Cole seu JWT na entrada (ou clique em Exemplo).
  2. Leia o cabeçalho e o payload decodificados, e copie qualquer um.
  3. Veja os claims de tempo para saber quando o token foi emitido ou expira.

Apenas decodificar — não verificar

O payload de um JWT é codificado em base64url, não criptografado, então qualquer um pode ler. Esta ferramenta o decodifica para inspeção mas não verifica a assinatura (que precisa da chave de assinatura). Para decisões de segurança, sempre verifique os tokens no seu servidor.

Perguntas frequentes

Este decodificador JWT é grátis?

Sim — é um decodificador JWT online totalmente gratuito, sem cadastro.

Meu token é enviado a um servidor?

Não. O token é decodificado inteiramente no seu navegador sem upload, então nunca sai do seu dispositivo — importante, pois tokens são credenciais sensíveis.

Ele verifica a assinatura?

Não. Isto é um decodificador/inspetor — lê o cabeçalho e o payload, mas não verifica a assinatura, que exige o segredo ou a chave pública. Nunca confie em um token não verificado em um servidor.

O que há dentro de um JWT?

Três partes base64url separadas por pontos: um cabeçalho (algoritmo e tipo), um payload (claims como sub, iat, exp) e uma assinatura. Esta ferramenta decodifica o cabeçalho e o payload.

O payload é criptografado?

Não. O payload de um JWT padrão é apenas codificado em base64url, não criptografado — qualquer um pode ler. Nunca coloque segredos no payload de um JWT.

O que significam iat e exp?

São timestamps Unix: iat é quando o token foi emitido e exp quando expira. A ferramenta os mostra como datas legíveis e sinaliza se o token expirou.

Posso decodificar um token que selecionei em outra página?

Sim — adicione o bookmarklet, selecione um token em qualquer página e clique para decodificar a seleção na hora.

Ferramentas relacionadas