Decodificador de JWT

Decodifique o header e o payload de um token JWT.

Este token não teve a assinatura verificada — a verificação exigiria a chave secreta do emissor, que este site nunca deve receber.

Escopo: decodifica, não verifica assinatura

Separa as três partes pelo ponto e decodifica header e payload de Base64URL para JSON, sem recalcular a assinatura — isso exigiria a chave secreta (HS256) ou a chave pública (RS256) do emissor, e nenhuma ferramenta de terceiros deveria pedir esse segredo. Todo o processamento roda no navegador; nenhuma parte do token é enviada a um servidor.

Claims comuns no payload

Os campos de data conhecidos (exp, iat, nbf) são convertidos automaticamente para o formato local. Como header e payload são apenas codificados (não criptografados), qualquer um com o token consegue lê-los — evite incluir dados sensíveis no payload ou compartilhar tokens de produção.

Perguntas frequentes

Por que a assinatura não é verificada?

Verificar a assinatura exigiria a chave secreta (HS256) ou a chave pública (RS256) do sistema que emitiu o token — um segredo que não deveria ser digitado em site nenhum de terceiros. Por isso a ferramenta se limita a decodificar header e payload, que já são publicamente legíveis, sem processar chaves.

Isso verifica se o token já expirou?

Não automaticamente. A claim "exp" é decodificada e exibida em formato legível, mas comparar essa data com o momento atual fica por sua conta — a ferramenta não valida o token perante nenhum servidor.

Meus dados são enviados para algum servidor?

Não, a decodificação roda inteiramente no navegador. Ainda assim, como o payload não é criptografado (qualquer pessoa com o token consegue lê-lo), evite compartilhar tokens de produção em prints ou com terceiros.