A JWT (JSON Web Token) is a compact, self-contained token consisting of three Base64URL-encoded parts: a header (algorithm), a payload (claims), and a signature. It is used for authentication and secure data exchange between parties.

How do I decode a JWT without a library?

Paste the JWT into this tool and it instantly displays the decoded header, payload, and signature. No library or server needed — decoding happens entirely in your browser.

Does decoding a JWT verify its signature?

Decoding reads the payload without verifying the signature. Signature verification requires the secret or public key. This tool shows you the claims inside the token; use server-side code to verify signatures in production.

Is it safe to paste a JWT into an online tool?

DevToys Web Pro processes your JWT entirely in your browser — no data is sent to any server. This makes it safe for inspecting production tokens during debugging.

Codificador / Descodificador de JWT

Configuração

Modo
Descodificar

Aviso de SegurançaPara sua proteção, toda a depuração e validação de JWT é feita no navegador. Tenha cuidado onde cola ou partilha JWTs, pois podem conter informações sensíveis.

JWT

Partes codificadas por cores:

Cabeçalho

Carga útil

Assinatura

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Definições de validação

Validar assinatura

Desligado

Validar validade

Desligado

Validar emissor

Desligado

Validar audiência

Desligado

Detalhes técnicos

Como Funciona o Codificador/Descodificador de JWT

O Que a Ferramenta Faz

O descodificador JWT analisa e apresenta o conteúdo de JSON Web Tokens, decompondo os componentes de cabeçalho, payload e assinatura para inspeção e depuração. Este parser jwt processa tokens JWT e apresenta a informação descodificada num formato legível, ajudando os programadores a compreender a estrutura e o conteúdo do token. Quando precisa de decode jwt online ou inspecionar tokens jwt de APIs, sistemas de autenticação ou cabeçalhos de autorização, esta ferramenta fornece análise imediata do token. O descodificador de json web token revela claims, tempos de expiração, informação do emissor e outros metadados incorporados nos tokens. Este visualizador jwt funciona inteiramente no seu browser, garantindo que os tokens nunca são transmitidos para servidores externos. O depurador jwt ajuda a identificar problemas de formato do token, tokens expirados ou valores de claims inesperados que possam causar problemas de autenticação.

Casos de Uso Comuns para Programadores

Os programadores utilizam descodificadores JWT ao resolver problemas de autenticação, analisar respostas de API que contêm tokens ou compreender implementações de segurança baseadas em tokens. A funcionalidade jwt online é essencial ao depurar sistemas de single sign-on (SSO), implementar fluxos OAuth ou trabalhar com microserviços que usam JWT para comunicação entre serviços. Muitos programadores precisam de parse jwt tokens ao construir middleware de autenticação, implementar lógica de renovação de tokens ou validar claims de tokens em sistemas de autorização. O codificador jwt ajuda ao criar tokens de teste, implementar lógica de geração de tokens ou compreender como os tokens são construídos. A descodificação JWT é valiosa para auditorias de segurança, monitorização de expiração de tokens ou análise de tokens recebidos de fornecedores de identidade de terceiros. O validador jwt ajuda a compreender porque é que a validação do token pode falhar ou que claims estão disponíveis para decisões de autorização.

Formatos, Tipos ou Variantes de Dados

Os tokens JWT consistem em três partes codificadas em Base64 separadas por pontos: cabeçalho, payload e assinatura. O descodificador do cabeçalho jwt revela informação do algoritmo (como HS256, RS256, ES256) e o tipo de token, enquanto o visualizador do payload jwt apresenta claims, incluindo claims padrão (iss, sub, aud, exp, iat) e claims personalizados específicos da aplicação. Diferentes algoritmos JWT usam vários métodos de assinatura: algoritmos HMAC usam segredos partilhados, algoritmos RSA usam pares de chaves pública/privada e algoritmos ECDSA usam criptografia de curva elíptica. O inspetor jwt mostra os timestamps de expiração (exp), emitido em (iat) e não antes de (nbf) que controlam os períodos de validade do token. Alguns tokens incluem claims de audiência (aud) que restringem a utilização do token a aplicações ou serviços específicos. O processo de descodificação lida com formatos de claims padrão e personalizados, apresentando objetos e arrays aninhados dentro do payload do token.

Erros Comuns e Casos Limite

Ao utilizar descodificadores JWT, lembre-se de que a descodificação apenas revela o conteúdo do token e não valida assinaturas nem verifica a autenticidade do token. O descodificador de tokens jwt não consegue determinar se um token é válido, está expirado ou está corretamente assinado sem acesso à chave de assinatura ou à lógica de validação. Tokens malformados com codificação Base64 inválida ou componentes em falta causarão erros de descodificação. Alguns tokens podem conter informação sensível em claims que não deve ser registada nem apresentada em ferramentas de desenvolvimento. O processo de parse jwt deve considerar que o conteúdo do token não está encriptado, apenas codificado, pelo que dados sensíveis nunca devem ser armazenados em payloads JWT. Diferenças de relógio entre sistemas podem afetar a interpretação de timestamps, fazendo com que os tokens pareçam expirados ou ainda não válidos. Valide sempre os tokens programaticamente em sistemas de produção, em vez de depender apenas da inspeção visual do conteúdo descodificado.

Quando Usar Esta Ferramenta vs Código

Utilize este descodificador JWT baseado no browser para inspeção rápida de tokens, resolução de problemas de autenticação durante o desenvolvimento ou compreensão da estrutura do token ao integrar novas APIs. É ideal para analisar tokens durante sessões de depuração, aprender sobre a estrutura JWT ou verificar claims do token sem escrever código. Para aplicações em produção, utilize bibliotecas JWT específicas da sua linguagem de programação (como jsonwebtoken para Node.js, PyJWT para Python ou java-jwt para Java) que fornecem validação segura de tokens, verificação de assinaturas e extração de claims. Soluções programáticas permitem processamento automatizado de tokens, integração com middleware de autenticação e validação segura de tokens com gestão adequada de chaves. Use ferramentas no browser para desenvolvimento e depuração, mas implemente tratamento JWT baseado em código para aplicações que necessitam de validação segura de tokens, renovação automática de tokens ou integração com fornecedores de identidade e sistemas de autorização.