security

Decodificador JWT

Decodifique JWT localmente, inspecione exp/iat/nbf e entenda os limites da assinatura — sem enviar tokens.

Decodificado

Header, payload e claims de tempo atualizam localmente enquanto você digita.

AlgoritmoHS256
TipoJWT
Assinaturademo-signature-not...
Só decodifica, não verifica

Esta ferramenta lê o conteúdo do token, mas não valida assinatura, emissor (issuer), audiência (audience) nem cadeia de confiança. Trate valores decodificados como não confiáveis até sua aplicação verificá-los.

Alertas de risco

Nenhum alerta óbvio

Nenhum alerta óbvio no header ou nas claims de tempo. Mesmo assim, verifique assinatura, issuer, audience e regras de confiança antes de aceitar o token.

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "DevCove Demo",
  "admin": false,
  "iat": 1700000000,
  "nbf": 1700000000,
  "exp": 4102444800
}

Claims de tempo registradas

expExpiração (exp)

Ativo

Segundos Unix
4102444800
Hora local
1 de jan. de 2100, 00:00:00
UTC
2100-01-01T00:00:00Z
Relativo
em 26.875 dias
iatEmitido em (iat)

Emitido

Segundos Unix
1700000000
Hora local
14 de nov. de 2023, 22:13:20
UTC
2023-11-14T22:13:20Z
Relativo
há 931 dias
nbfVálido a partir de (nbf)

Ativo

Segundos Unix
1700000000
Hora local
14 de nov. de 2023, 22:13:20
UTC
2023-11-14T22:13:20Z
Relativo
há 931 dias

Curso de JWT

Aprenda JSON Web Tokens: estrutura, claims, limites de verificação e depuração prática.

Página do curso

Sobre esta ferramenta

O Decodificador JWT DevCove ajuda a inspecionar JSON Web Tokens sem enviá-los. Cole um token para decodificar header e payload em Base64URL, exibir JSON legível, ver campos de algoritmo e tipo, e traduzir claims exp, iat e nbf para hora local, UTC e status relativo. A ferramenta apenas decodifica — não afirma que o token é confiável até você verificar a assinatura no seu sistema.

Como usar

Use este decodificador JWT para inspecionar tokens rapidamente ao depurar APIs:

  1. Cole um JWT do cabeçalho Authorization, cookie, log ou callback OAuth. O prefixo Bearer opcional é aceito.
  2. Confira o header decodificado (alg, typ) para saber como o token declara ter sido assinado.
  3. Revise o JSON do payload: subject, issuer, audience, escopos, papéis e claims customizadas.
  4. Inspecione os cartões exp, iat e nbf: segundos Unix, hora local, UTC e status relativo.
  5. Copie header ou payload JSON para incluir um trecho seguro em relatórios de bug.
  6. Verifique assinatura e regras de confiança no backend ou no provedor de identidade antes de confiar em qualquer claim.

Recursos

Focado no que desenvolvedores precisam ao depurar auth e requisições de API:

  • Decodificação Base64URL de header e payload JWT.
  • JSON formatado nas duas seções decodificadas.
  • Aceita token com ou sem prefixo Bearer.
  • Mostra algoritmo, tipo e prévia compacta da assinatura.
  • Explica exp, iat e nbf em segundos Unix, hora local do navegador, UTC e tempo relativo.
  • Destaca tokens expirados e tokens ainda não válidos.
  • Erros claros para contagem de segmentos, falha Base64URL e JSON inválido.
  • Copiar payload, header decodificado ou token original.
  • 100% no navegador — tokens não são enviados aos servidores DevCove.
  • Aviso explícito de «só decodifica» para não confundir com verificação de assinatura.
  • Curso de JWT vinculado: estrutura, claims, erros comuns e depuração.

FAQ

Este decodificador JWT verifica a assinatura?

Não. Ele decodifica header e payload para inspeção. Verificar assinatura exige segredo ou chave pública corretos, além de regras de issuer, audience, relógio e algoritmo da sua aplicação.

É seguro colar um JWT aqui?

A decodificação roda localmente no navegador e o token não é enviado ao DevCove. Mesmo assim, tokens podem ser credenciais sensíveis — evite compartilhar valores decodificados ou capturas de tela sem necessidade.

O que significa exp em um JWT?

exp é o tempo de expiração, em geral em segundos Unix. Se exp está no passado, uma aplicação que valida corretamente deve rejeitar o token.

Qual a diferença entre decodificar e verificar?

Decodificar é ler o JSON em Base64URL. Verificar é provar que o token foi assinado por um emissor confiável e que claims como aud, iss, exp e nbf atendem às suas regras.

Por que meu JWT tem três partes?

Um JWT compacto é header.payload.signature. As duas primeiras partes são JSON em Base64URL; a terceira são bytes da assinatura codificados para transporte.

Posso confiar no payload decodificado?

Não por si só. Qualquer pessoa pode montar uma string com JSON arbitrário. Confie apenas em tokens que passam na validação de assinatura e claims.