Escopo: decodifica, não verifica assinatura
Separa as três partes pelo ponto e decodifica header e payload de Base64URL para JSON, sem recalcular a assinatura — isso exigiria a chave secreta (HS256) ou a chave pública (RS256) do emissor, e nenhuma ferramenta de terceiros deveria pedir esse segredo. Todo o processamento roda no navegador; nenhuma parte do token é enviada a um servidor.
Claims comuns no payload
iss— emissor do tokensub— identificador do usuário/entidade (subject)aud— audiência/destinatário pretendidoexp— timestamp de expiraçãoiat— timestamp de emissãonbf— não válido antes deste timestamp
Os campos de data conhecidos (exp, iat, nbf) são convertidos automaticamente para o formato local. Como header e payload são apenas codificados (não criptografados), qualquer um com o token consegue lê-los — evite incluir dados sensíveis no payload ou compartilhar tokens de produção.