Ferramentas em português / Decodificar JWT online — ver claims e expiração sem enviar o tokenEnglish version →
Decodificar JWT online — ver claims e expiração sem enviar o token
Um JWT tem três partes separadas por pontos: header.payload.signature. As duas primeiras são só base64url — qualquer um com o token consegue ler; não há criptografia. Esta ferramenta decodifica, mostra os claims e converte exp/iat em datas legíveis, avisando na hora se o token expirou (causa nº 1 dos 401).
O ponto crucial: a decodificação acontece inteiramente no seu navegador. Colar um token de produção num site que processa no servidor é entregar uma credencial ativa de presente; aqui ele não sai da sua máquina. Ainda assim, token que já vazou em qualquer lugar deve ser rotacionado.
Como usar
- Cole o JWT completo (tire o prefixo «Bearer » se tiver)
- Leia header, payload e a expiração já convertida em data
- Para verificar a assinatura, use depois o JWT Signature Verifier
Perguntas frequentes
- Se qualquer um lê, qualquer um falsifica?
- Ler sim; falsificar e passar, não: o servidor confere a assinatura com a chave dele. Mudar uma letra do payload invalida a assinatura. A lição real: nunca coloque segredo no payload, porque ele é público para quem tiver o token.
- Por que exp mostra 1970 ou um ano absurdo?
- O emissor gravou milissegundos em vez de segundos (o padrão JWT usa segundos desde o epoch). 13 dígitos = ms, 10 dígitos = segundos.
- Meu token tem 5 partes e não decodifica
- É um JWE (JWT criptografado): o payload está cifrado de verdade e não dá para ler sem a chave, diferente do JWS de 3 partes, que é só assinado.
Outras ferramentas com explicação em português
- Formatar JSON online (JSON Formatter) — grátis
- Validar JSON online (JSON Validator) — com linha e coluna do erro
- Visualizar JSON em árvore e grafo interativo (JSON Viewer)
- Codificar em Base64 online — com UTF-8 correto (acentos e ç)
- Decodificar Base64 online — UTF-8 correto, serve para JWT
- URL Encode online — codificar texto para URLs (percent-encoding)