Toollama
DesenvolvedorFerramenta online gratuita

Decodificador JWT online

Ferramenta para revisar estrutura JWT, claims e expiracao durante debugging de APIs e auth.

Cole um token JWT para decodificar header e payload rapidamente.

Header decodificado

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload decodificado

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1716239022
}

Algoritmo (alg)

HS256

Tipo (typ)

JWT

Expiracao (exp)

2024-05-20T21:03:42.000Z

Assinatura

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Nota de seguranca

Decodifica JWT, mas nao valida assinatura. Use apenas para inspecao.

  • Valide assinatura no backend.
  • Verifique exp, nbf e iat.
  • Decodificar nao prova autenticidade.

Para JSON mais claro use JSON Formatter | Para testar segmentos use Base64 Decode

Guia

O que esta ferramenta faz

O que e

Decodificador JWT e uma ferramenta gratis online para ler segmentos de JSON Web Token e exibir header e payload em JSON legivel.

O decode acontece localmente para analise rapida. Nao valida assinatura e nao substitui verificacao de confianca.

Quando usar

Use quando APIs falham por formato invalido, claims inesperados, token expirado ou algoritmo incorreto.

Ajuda a checar exp, nbf, iat, aud e iss durante debugging antes da validacao de assinatura no backend.

Uso

Como usar a ferramenta

  1. 1

    Cole o JWT completo com tres segmentos separados por ponto.

  2. 2

    Revise header e payload decodificados e confira claims como exp, nbf, iat, aud e iss.

  3. 3

    Se falhar, valide segmentos, Base64URL e JSON e depois rode verificacao real de assinatura no servidor.

Exemplos

Exemplos praticos

Debug de token expirado

Verifique exp e nbf para explicar erros 401/403.

Issuer ou audience errados

Inspecione iss e aud para encontrar divergencias entre ambientes.

JWT malformado

Confirme 3 segmentos e JSON valido em header/payload.

Evite erros

Erros comuns

Achar que decode valida autenticidade

Decode apenas mostra conteudo; assinatura deve ser validada no backend.

Confiar em claims sem checar exp

Payload legivel pode estar invalido para autenticacao.

Confundir decode com criptografia

A maioria dos JWTs e assinada, nao criptografada.

FAQ

Perguntas frequentes

Esta ferramenta valida a assinatura do JWT?

Nao. Ela apenas decodifica o conteudo.

Posso checar exp e iat?

Sim. Os claims de tempo aparecem no payload.

Por que o decode pode falhar?

Segmentos errados, Base64URL invalido ou JSON quebrado.

Decodificar e o mesmo que descriptografar?

Nao. Decode apenas torna legivel.

Posso usar para decisao de auth em producao?

Nao. Em producao e obrigatoria a verificacao completa no backend.

Aprofundamentos

Artigos conectados a esta ferramenta

Developer8 min

Quando usar JWT decoder em workflows de debug de API

Entenda quando JWT decode acelera incidentes de API, o que ele nao comprova e por que verify no backend continua obrigatorio.

Ler artigo
Developer10 min

JWT Decode vs JWT Verify: por que tokens legiveis ainda falham

Comparacao pratica entre decode e verify em JWT para separar analise rapida de decisao de confianca.

Ler artigo
Developer11 min

Como decodificar um token JWT com seguranca (sem confundir decode e verify)

Guia pratico para developers: decodificar JWT com clareza, ler claims com contexto e verificar assinatura no backend.

Ler artigo