Ferramentas em português / Decodificar JWT online — ver claims e expiração sem enviar o tokenEnglish version →

Decodificar JWT online — ver claims e expiração sem enviar o token

Um JWT tem três partes separadas por pontos: header.payload.signature. As duas primeiras são só base64url — qualquer um com o token consegue ler; não há criptografia. Esta ferramenta decodifica, mostra os claims e converte exp/iat em datas legíveis, avisando na hora se o token expirou (causa nº 1 dos 401).

O ponto crucial: a decodificação acontece inteiramente no seu navegador. Colar um token de produção num site que processa no servidor é entregar uma credencial ativa de presente; aqui ele não sai da sua máquina. Ainda assim, token que já vazou em qualquer lugar deve ser rotacionado.

Como usar

  1. Cole o JWT completo (tire o prefixo «Bearer » se tiver)
  2. Leia header, payload e a expiração já convertida em data
  3. Para verificar a assinatura, use depois o JWT Signature Verifier

Perguntas frequentes

Se qualquer um lê, qualquer um falsifica?
Ler sim; falsificar e passar, não: o servidor confere a assinatura com a chave dele. Mudar uma letra do payload invalida a assinatura. A lição real: nunca coloque segredo no payload, porque ele é público para quem tiver o token.
Por que exp mostra 1970 ou um ano absurdo?
O emissor gravou milissegundos em vez de segundos (o padrão JWT usa segundos desde o epoch). 13 dígitos = ms, 10 dígitos = segundos.
Meu token tem 5 partes e não decodifica
É um JWE (JWT criptografado): o payload está cifrado de verdade e não dá para ler sem a chave, diferente do JWS de 3 partes, que é só assinado.