Decodificador JWT gratuito online — Decodificar, analisar e verificar JSON Web Tokens
Bem-vindo ao decodificador JWT do Get-Tools, uma ferramenta gratuita e poderosa que funciona diretamente no seu navegador para decodificar, analisar e verificar JSON Web Tokens instantaneamente. Seja voce um desenvolvedor backend depurando fluxos de autenticacao, um engenheiro de seguranca auditando controles de acesso ou um estudante aprendendo sobre autenticacao web moderna, esta ferramenta oferece tudo o que voce precisa para entender o conteudo de um JWT sem instalar nenhum software ou extensao de navegador. Todas as operacoes sao executadas inteiramente no seu navegador, o que significa que seus tokens nunca saem do seu dispositivo — uma vantagem crucial de privacidade em relacao as alternativas baseadas em servidor.
O que e um JSON Web Token?
JSON Web Token (JWT, pronunciado "djot") e um padrao aberto definido na especificacao RFC 7519 para transmitir informacoes de forma segura entre duas partes como um objeto JSON compacto e compativel com URLs. Os JWTs sao amplamente utilizados em sistemas OAuth 2.0, OpenID Connect, login unico (SSO), arquiteturas de microsservicos e aplicativos moveis que se comunicam com APIs REST. Um JWT consiste em tres partes codificadas em Base64url separadas por pontos: um cabecalho, uma carga util e uma assinatura.
Estrutura do JWT — As tres partes
1. Cabecalho (Header)
O cabecalho e um pequeno objeto JSON que especifica o tipo de token (normalmente "JWT") e o algoritmo de assinatura utilizado, como HS256, RS256 ou ES256. A escolha do algoritmo determina diretamente como a assinatura e criada e verificada. Algoritmos simetricos como HMAC usam uma unica chave secreta compartilhada, enquanto algoritmos assimetricos como RSA e ECDSA usam um par de chaves publica-privada, mais adequado para sistemas distribuidos onde a parte verificadora nao deve possuir a chave de assinatura.
2. Carga util (Payload)
A carga util contem as reivindicacoes (claims) — informacoes sobre o usuario, a autoridade emissora e o proprio token. Existem tres categorias: claims registradas definidas pela especificacao JWT (como sub para sujeito, iss para emissor, aud para audiencia, exp para expiracao, iat para data de emissao e nbf para "nao antes de"), claims publicas registradas no registro IANA e claims privadas acordadas entre as partes. As claims temporais sao especialmente importantes porque controlam quando um token se torna valido e quando expira.
3. Assinatura (Signature)
A assinatura e gerada aplicando o algoritmo especificado no cabecalho sobre o cabecalho e a carga util codificados, combinados com uma chave secreta ou chave privada. Quando o destinatario recebe o token, ele pode recalcular a assinatura com a chave correspondente e compara-la com a do token. Se coincidirem, o token e autentico e nao foi modificado. Este e o mecanismo central que torna o JWT um metodo confiavel para autenticacao stateless.
Como funciona o decodificador JWT do Get-Tools
Ao colar um JWT no campo de entrada, a ferramenta o divide instantaneamente em suas tres partes e atribui um codigo de cores a cada uma: ambar para o cabecalho, verde para a carga util e roxo para a assinatura. Em seguida, decodifica o Base64url e exibe o conteudo JSON em um formato estruturado e legivel. Claims temporais como exp, iat e nbf sao automaticamente detectadas e convertidas em datas legiveis, com um selo em tempo real mostrando se o token ainda e valido ou ja expirou, junto com a duracao exata restante ou decorrida.
Principais funcionalidades
- Decodificacao em tempo real: os resultados aparecem conforme voce digita, sem necessidade de clicar em nenhum botao
- Partes do token coloridas: cabecalho, carga util e assinatura visualmente distintos
- Analise de claims temporais: deteccao automatica de
exp,iatenbfcom selos de validade - Verificacao de assinatura: suporte para HMAC, RSA, RSA-PSS e ECDSA
- Copia com um clique: botoes dedicados para copiar header e payload em formato JSON
- Token de exemplo: um JWT integrado com sua chave secreta para testes rapidos
- Privacidade total: todo o processamento acontece no seu navegador — nenhum dado e enviado a qualquer servidor
Algoritmos suportados
A ferramenta suporta os algoritmos de assinatura JWT mais utilizados por meio da Web Crypto API: HMAC com SHA-256, SHA-384 e SHA-512 para assinatura simetrica; RSASSA-PKCS1-v1_5 e RSA-PSS para assinatura assimetrica RSA; e ECDSA com as curvas P-256, P-384 e P-521 para assinatura baseada em curvas elipticas.
Consideracoes de seguranca
Lembre-se de que o JWT e codificado em Base64, nao criptografado — qualquer pessoa que tenha o token pode ler seu conteudo. Nunca inclua senhas, numeros de cartao de credito ou outros dados sensiveis na carga util de um JWT. Sempre transmita tokens por HTTPS, defina tempos de expiracao curtos para tokens sensiveis, faca a rotacao das chaves de assinatura regularmente e prefira algoritmos assimetricos como RS256 ou ES256 em ambientes de producao.