É seguro colar meu token aqui?

A decodificação ocorre inteiramente no seu navegador e o token nunca é enviado. Mesmo assim, evite colar tokens reais e sensíveis em um computador compartilhado ou público.

O que é o claim exp?

exp é o tempo de expiração como timestamp UNIX (segundos). Se já passou, o token expirou. Esta ferramenta o exibe no seu horário local.

E se o token for inválido?

Se o token não for um JWT válido ou suas partes não forem JSON Base64URL correto, uma mensagem de erro é exibida em vez do resultado.

Devo manter meu JWT em segredo?

Sim. Qualquer pessoa com o token pode ler seu payload e pode usá-lo até expirar, então trate os tokens como senhas.

Decodificador JWT

JWT

Seu token é decodificado no navegador e nunca é enviado a lugar nenhum.

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1900000000
}

Claims de tempo (horário local)

exp17 de mar. de 2030, 17:46:40
iat18 de jan. de 2018, 01:30:22

Esta ferramenta apenas decodifica o token; não verifica a assinatura, o que requer a chave secreta ou pública.

Ferramentas externas relacionadas

Alguns links são links de afiliados.

JetBrainsUma empresa de ferramentas para desenvolvedores por trás de IDEs populares como IntelliJ IDEA, WebStorm, PyCharm e Rider. Conhecida pela inteligência de código profunda, suporte a refatoração e ferramentas de depuração integradas. Oferece assinatura All Products Pack.AmazonO maior marketplace online do mundo para compras, eletrônicos, livros, software e mais. Envio rápido, devoluções fáceis e um vasto catálogo de produtos o tornam o favorito para compras do dia a dia. A assinatura Prime adiciona streaming, frete grátis e ofertas exclusivas.

Ferramentas relacionadas

Formatador JSONFormate, compacte e valide JSON online gratuitamente. JSON com erro? Mostra exatamente a linha e coluna do erro com destaque. Nada é enviado.Base64 Codificar / DecodificarCodifique texto para Base64 ou decodifique Base64 na hora — acentos e emojis sem erros (UTF-8), Base64 seguro para URL, imagem para data URL. Tudo no navegador.JSON para TypeScriptCole JSON e gere interfaces ou tipos do TypeScript: objetos aninhados, arrays mesclados e campos opcionais ou nuláveis. No navegador, sem enviar nada.Codificador / Decodificador de URLCodifique ou decodifique texto e URLs completas, alterne entre modo componente e URL completa, e divida a query string em pares chave/valor. Tudo no navegador.

Cole um JSON Web Token (JWT) para ler instantaneamente seu header e payload como JSON formatado. Claims de tempo como expiração e data de emissão são exibidos no seu horário local, e você vê de relance se o token expirou. A decodificação ocorre inteiramente no seu navegador — seu token nunca é enviado.

Como usar

Cole seu JWT no campo (as três partes separadas por pontos).
Leia o header e o payload decodificados como JSON formatado.
Verifique os claims de tempo e o status de expiração, e copie o que precisar.

Como funciona

Um JWT tem três partes separadas por pontos: header.payload.signature. O header e o payload são JSON codificado em Base64URL, portanto qualquer pessoa pode decodificá-los — não estão criptografados. A assinatura prova que o token não foi adulterado, mas verificá-la requer a chave secreta ou pública, então esta ferramenta apenas decodifica e nunca verifica a assinatura.

Recursos

Header e payload

Ambas as partes são decodificadas e exibidas como JSON legível.

Tempos legíveis

Claims como exp, iat e nbf são exibidos na sua data e hora local, não como números brutos.

Verificação de expiração

Um aviso claro indica se o token ainda é válido ou já expirou.

Copiar com um clique

Copie o JSON do header ou payload para a área de transferência com um clique.

Totalmente local

Seu token é decodificado no navegador e nunca é enviado a um servidor.

Quando usar

Depuração de API

Inspecione os claims de um token ao testar um endpoint de API protegido.

Solução de problemas de autenticação

Verifique o sujeito, funções e expiração quando um login ou sessão se comportar de forma inesperada.

Inspecionar um token

Veja rapidamente quais dados um JWT carrega sem escrever nenhum código.

Aprendizado

Explore a estrutura dos JWTs para entender como funciona a autenticação baseada em tokens.

Observações

Esta ferramenta apenas decodifica; não verifica a assinatura.
Os payloads JWT são codificados, não criptografados — nunca os trate como secretos.
Claims de tempo (exp, iat, nbf) são segundos UNIX, exibidos aqui no seu horário local.
A decodificação ocorre no seu dispositivo, mas evite colar tokens sensíveis em computadores compartilhados.

Perguntas frequentes

Verifica a assinatura?: Não. Verificar uma assinatura JWT requer a chave secreta ou pública. Esta ferramenta apenas decodifica o header e o payload para você lê-los.
É seguro colar meu token aqui?: A decodificação ocorre inteiramente no seu navegador e o token nunca é enviado. Mesmo assim, evite colar tokens reais e sensíveis em um computador compartilhado ou público.
O que é o claim exp?: exp é o tempo de expiração como timestamp UNIX (segundos). Se já passou, o token expirou. Esta ferramenta o exibe no seu horário local.
E se o token for inválido?: Se o token não for um JWT válido ou suas partes não forem JSON Base64URL correto, uma mensagem de erro é exibida em vez do resultado.
Devo manter meu JWT em segredo?: Sim. Qualquer pessoa com o token pode ler seu payload e pode usá-lo até expirar, então trate os tokens como senhas.