Pro — sem anúncios
advertisement
// JWT → header + payload

Decodificador de JWT

Cole um JSON Web Token para ver o que realmente há dentro dele — o header e o payload, decodificados e formatados para leitura.

advertisement

O que decodificar um JWT revela — e o que não revela

O header e o payload de um JWT são apenas JSON codificado em Base64URL — qualquer pessoa pode decodificá-los e lê-los, sem precisar de nenhum segredo, e é exatamente isso que esta ferramenta faz. O que ela não consegue fazer é verificar a assinatura: isso exige o segredo ou a chave pública do emissor, que propositalmente não é algo que você colaria em um site qualquer.

Isso verifica se o token é válido ou se ainda não expirou?

Não — isso apenas decodifica as partes legíveis. A verificação da assinatura e a checagem da expiração ("exp") acontecem no servidor que emitiu o token, usando um segredo que esta ferramenta nunca vê.

Um JWT deveria mesmo ser legível assim?

Sim — o header e o payload são apenas codificados, não criptografados. Nunca coloque segredos ou dados sensíveis diretamente no payload de um JWT; a assinatura serve para provar que ele não foi alterado, não para esconder o seu conteúdo.

Meu token é enviado para algum lugar?

Não — a decodificação acontece inteiramente no seu navegador, com JavaScript puro. Nada é enviado.

Convertburda — conversões universais
advertisement