Decodificador de JWT
Decodifique e inspecione tokens JSON Web para visualizar cabeçalho, payload e reivindicações.
Cole um JWT para decodificar seu conteúdo.
Decodificador JWT — Decodifique e Analise JSON Web Tokens Online Gratuitamente
Nosso decodificador JWT gratuito online permite que você cole qualquer JSON Web Token e veja imediatamente seu cabeçalho decodificado, payload e assinatura. Analise afirmações do token, como emissor, destinatário, expiração e público-alvo, sem precisar escrever qualquer código. Tudo é executado no seu navegador — seus tokens nunca são enviados para nenhum servidor.
O que é um JSON Web Token (JWT)?
Um JSON Web Token (JWT) é um padrão aberto (RFC 7519) para transmitir informações de forma segura entre partes como um objeto JSON. JWTs são frequentemente usados para autenticação e autorização em aplicações web. Quando você se loga em um site, o servidor geralmente retorna um JWT que seu navegador inclui em solicitações subsequentes para provar sua identidade.
Um JWT consiste de três partes separadas por pontos:
- Cabeçalho — especifica o tipo de token e o algoritmo de assinatura (ex:
{"alg": "HS256", "typ": "JWT"}) - Payload — contém as afirmações — declarações sobre a entidade (geralmente o usuário) e dados adicionais (ex:
{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}) - Assinatura — usada para verificar se o token não foi alterado
Cada parte é codificada em Base64Url, tornando o token compacto e seguro para URLs. Por exemplo, um JWT típico parece com eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.
Como Usar Este Decodificador JWT
- Cole seu JWT no campo de entrada. O token deve ser uma string de três partes codificadas em Base64Url separadas por pontos.
- Veja o cabeçalho decodificado — o algoritmo, tipo de token e outros metadados aparecem instantaneamente.
- Veja o payload decodificado — todas as afirmações são exibidas em uma tabela formatada, fácil de ler, com timestamps legíveis por humanos.
- Verifique o status do token — a ferramenta verifica automaticamente se o token expirou com base na afirmação
exp. - Copie qualquer seção — clique no botão de cópia ao lado do cabeçalho ou payload para copiar o JSON decodificado.
Toda decodificação acontece localmente no seu navegador usando a função atob nativa do JavaScript. Nenhum dado é transmitido pela rede.
Principais Recursos
| Recurso | Benefício |
|---|---|
| Decodificação instantânea | Cabeçalho e payload são decodificados enquanto você digita |
| Saída JSON formatada | JSON bem formatado com realce de sintaxe |
| Conversão de timestamps | Afirmações iat, exp e nbf exibidas como datas legíveis por humanos |
| Verificação de expiração | Detecta e destaca automaticamente tokens expirados |
| Descrições das afirmações | Afirmações comuns como sub, iss e aud são rotuladas |
| Cópia para área de transferência | Copie o JSON decodificado do cabeçalho ou payload com um clique |
| Nenhuma transferência de dados | Toda decodificação ocorre localmente no seu navegador |
Referência de Afirmações Comuns JWT
| Afirmação | Nome | Descrição |
|---|---|---|
iss |
Emissor | Identifica o principal que emitiu o token |
sub |
Assunto | Identifica o principal que é o assunto do token |
aud |
Público-alvo | Identifica os destinatários para os quais o token foi destinado |
exp |
Tempo de expiração | Data e hora após as quais o token não é mais válido |
nbf |
Não antes | Data e hora antes das quais o token não é válido |
iat |
Emitido em | Data e hora em que o token foi emitido |
jti |
ID JWT | Identificador único para o token |
name |
Nome | Nome completo do usuário |
email |
Endereço de e-mail do usuário | |
role |
Função | Função ou nível de permissão do usuário |
scope |
Escopo | Permissões ou escopos concedidos |
Para codificar dados para incluir em URLs, tente nosso Codificador/Decodificador de URLs. Para codificação Base64, use o Codificador/Decodificador Base64.
Casos de Uso no Mundo Real
Depurar Problemas de Autenticação
Quando um usuário relata que não pode acessar um recurso protegido, o primeiro passo é inspecionar seu JWT. Decodifique o token para verificar se expirou, se a afirmação sub corresponde ao ID de usuário esperado ou se a afirmação role inclui as permissões necessárias.
Verificar o Conteúdo do Token Durante o Desenvolvimento
Ao construir ou testar uma API, você frequentemente precisa verificar se o servidor está emitindo tokens com as afirmações corretas. Cole o token no decodificador para verificar rapidamente o payload sem escrever um script de teste.
Inspecionar Tokens de Terceiros
Ao integrar com provedores OAuth como Google, GitHub ou Auth0, você recebe JWTs dos fluxos de autenticação deles. Decodificar esses tokens ajuda a entender seu conteúdo e estrutura.
Segurança em Aplicações Web
Implementar verificações rigorosas para garantir que apenas tokens válidos sejam aceitos, evitando ataques de injeção ou manipulação de tokens.
Desempenho e Escalabilidade
O uso eficiente de JWTs pode melhorar o desempenho de sistemas distribuídos, reduzindo a necessidade de consultas frequentes a bancos de dados.
Compatibilidade com APIs
JWTs são amplamente suportados por frameworks modernos, facilitando a integração com APIs RESTful e serviços baseados em microserviços.
Dicas para Trabalhar com JWTs
- Nunca armazene dados sensíveis em um JWT — como senhas ou informações de cartão de crédito.
- Use assinaturas seguras — prefira algoritmos como HS256 ou RS256 em vez de algoritmos fracos.
- Defina expirações adequadas — tokens com expirações muito longas aumentam o risco de uso não autorizado.
- Evite usar JWTs como substituição para sessões — em alguns casos, sessões podem ser mais apropriadas para gerenciar autenticação de longo prazo.
- Monitore e audite o uso de JWTs — registre eventos críticos e verifique se os tokens são usados conforme planejado.
Perguntas Frequentes
O que acontece se um token JWT for comprometido?
Se um token JWT for comprometido, ele pode ser usado para acessar recursos protegidos sem autorização. É essencial usar assinaturas fortes e expirações curtas para minimizar esse risco.
Posso usar JWTs em ambientes de baixa confiança?
JWTs são adequados para ambientes de baixa confiança apenas se os tokens forem assinados corretamente e expirarem rapidamente. Em ambientes de alta confiança, outros mecanismos podem ser mais apropriados.
Como posso verificar a validade de um token JWT?
Para verificar a validade de um token JWT, você deve:
- Verificar a assinatura para garantir que o token não foi alterado.
- Confirmar que o token não expirou com base na afirmação
exp. - Verificar que o token foi emitido por uma fonte confiável, usando a afirmação
iss.
Posso usar JWTs para armazenar informações de sessão?
JWTs podem ser usados para armazenar informações de sessão, mas é importante garantir que os tokens sejam expirados corretamente e que os dados armazenados sejam seguros. Em alguns casos, sessões podem ser mais apropriadas para gerenciar autenticação de longo prazo.
O que é a verificação da assinatura em JWTs?
A verificação da assinatura em JWTs é o processo de garantir que o token não foi alterado desde que foi emitido. Isso é feito comparando a assinatura do token com a assinatura calculada usando a chave privada correta.
Como posso gerar um token JWT?
Para gerar um token JWT, você deve:
- Criar um payload com as afirmações necessárias.
- Assinar o token usando um algoritmo apropriado e uma chave privada.
- Codificar o token em Base64Url para formar o JWT final.