Decodificador JWT

Cole um JWT para decodificar seu header, payload e inspecionar os claims. Tudo roda no seu navegador — seu token nunca sai.

Como funciona: Cole um token JWT abaixo para decodificar seu header e payload instantaneamente. A ferramenta destaca o status de expiração e exibe todos os claims em formato legível. Nenhum dado é enviado a nenhum servidor.

Válido por 1d 0h· Emitido há 1h 0m
Header
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload
{
  "sub": "1234567890",
  "name": "John Doe",
  "email": "john@example.com",
  "role": "admin",
  "iat": 1773346245,
  "exp": 1773436245,
  "iss": "https://auth.example.com",
  "aud": "https://api.example.com"
}
ClaimValor
sub1234567890
nameJohn Doe
emailjohn@example.com
roleadmin
iat1773346245 (2026-03-12T20:10:45.000Z)
exp1773436245 (2026-03-13T21:10:45.000Z)
isshttps://auth.example.com
audhttps://api.example.com
Assinatura

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

O que é um JWT?

Um JSON Web Token (JWT) é uma forma compacta e segura para URLs de representar claims entre duas partes. Consiste em três partes separadas por pontos: header, payload e assinatura. O header especifica o algoritmo usado, o payload contém os claims (dados), e a assinatura verifica a integridade do token. JWTs são amplamente usados para autenticação e autorização em APIs web.

Estrutura do JWT explicada

Cada parte de um JWT é JSON codificado em Base64URL. O header tipicamente contém o algoritmo (HS256, RS256) e tipo de token. O payload contém claims como sub (sujeito), iat (emitido em), exp (expiração) e dados personalizados. A assinatura é criada assinando o header e payload com um segredo ou chave privada.

Claims comuns de JWT

Claims padrão incluem: iss (emissor), sub (sujeito), aud (audiência), exp (tempo de expiração), nbf (não antes de), iat (emitido em) e jti (ID do JWT). Claims personalizados podem conter qualquer dado JSON como papéis de usuário, permissões ou informações de perfil. Sempre valide o claim exp para verificar se um token expirou.

Considerações de segurança

  • Nunca armazene dados sensíveis em payloads JWT — são codificados, não criptografados
  • Sempre verifique assinaturas no servidor
  • Use tempos de expiração curtos e refresh tokens
  • Prefira RS256 sobre HS256 para APIs públicas
  • Nunca exponha seu segredo de assinatura em código do cliente
  • Use HTTPS para prevenir interceptação de tokens