Decodificador de JWT
Cole um JSON Web Token para ver o que realmente há dentro dele — o header e o payload, decodificados e formatados para leitura.
O que decodificar um JWT revela — e o que não revela
O header e o payload de um JWT são apenas JSON codificado em Base64URL — qualquer pessoa pode decodificá-los e lê-los, sem precisar de nenhum segredo, e é exatamente isso que esta ferramenta faz. O que ela não consegue fazer é verificar a assinatura: isso exige o segredo ou a chave pública do emissor, que propositalmente não é algo que você colaria em um site qualquer.
Isso verifica se o token é válido ou se ainda não expirou?
Não — isso apenas decodifica as partes legíveis. A verificação da assinatura e a checagem da expiração ("exp") acontecem no servidor que emitiu o token, usando um segredo que esta ferramenta nunca vê.
Um JWT deveria mesmo ser legível assim?
Sim — o header e o payload são apenas codificados, não criptografados. Nunca coloque segredos ou dados sensíveis diretamente no payload de um JWT; a assinatura serve para provar que ele não foi alterado, não para esconder o seu conteúdo.
Meu token é enviado para algum lugar?
Não — a decodificação acontece inteiramente no seu navegador, com JavaScript puro. Nada é enviado.
