Hubde utilidades
Inspeção de header e payload

Decodificador JWT online

Cole um JWT e veja header, payload, claims reconhecidas e a linha do tempo do token. Decodificação 100% local, sem envio para servidores.

Início/Conversores/Decodificador JWT
  • Decodifica header e payload com formatação JSON pronta para ler.
  • Reconhece claims padrão (iss, sub, aud, exp, nbf, iat, jti) com descrição em português.
  • Mostra linha do tempo do token (emissão, validade inicial, expiração) em fuso de Brasília.
Ferramenta

Decodifique tokens JWT no navegador

Cole um JWT e veja header, payload e claims já formatadas. A assinatura aparece como referência mas não é validada — esta ferramenta é cliente-only e não tem acesso à chave secreta.

StatusAguardando token
Algoritmo
Tipo

Como funciona: um JWT (JSON Web Token) tem três partes separadas por ponto: header, payload e signature. Header e payload são JSON codificados em Base64-URL — qualquer pessoa pode ler. A signature é gerada com chave secreta no servidor e impede adulteração; a verificação acontece no backend, não no cliente.

Importante: JWT não é criptografia. Não coloque dados sensíveis no payload — eles são legíveis por qualquer um com o token. Use apenas para informações que poderiam ser públicas (ID do usuário, papel, validade).

Visão geral

O que você encontra nesta página

O decodificador JWT atende a um cenário comum em depuração: você recebeu um token e precisa abrir para conferir claims, validade e algoritmo, mas não quer colar o token em sites de terceiros que podem registrar o conteúdo. A página resolve esse problema com decodificação 100% local.

A ferramenta separa as três partes do JWT (header, payload, signature), decodifica Base64-URL e formata o JSON resultante. A assinatura aparece como referência mas não é validada — só servidores com a chave podem fazer isso.

Entenda a ferramenta

O que esta ferramenta faz

  • Separa e decodifica header e payload de um JWT em JSON formatado.
  • Reconhece claims padrão (iss, sub, aud, exp, nbf, iat, jti) com explicação curta.
  • Mostra emissão, início de validade e expiração em fuso de Brasília, com avisos quando o token está expirado.
Quando usar

Em quais situações ela ajuda

  • Ao depurar uma chamada de API que está retornando 401 — abrir o JWT mostra se expirou, qual o iss/sub e se as claims estão corretas.
  • Ao confirmar o algoritmo de assinatura aceito por um sistema (HS256, RS256, etc.) inspecionando um token de exemplo.
  • Ao revisar tokens em logs ou tickets para entender o contexto sem precisar do servidor de autenticação.
Passo a passo

Como usar

  1. Cole o JWT completo na área de texto.
  2. Confira header (com algoritmo e tipo) e payload já formatados.
  3. Olhe a linha do tempo do token para saber se está dentro da validade.
  4. Use Copiar para extrair header, payload ou assinatura para outra ferramenta.
Exemplos práticos

Quando esse cálculo ou recurso costuma ser útil

  • Inspecionar o payload de um JWT durante depuração de uma API.
  • Conferir se um token recebido já expirou antes de abrir um chamado.
  • Identificar o algoritmo de assinatura (HS256, RS256) e o emissor de um token.
Leitura do resultado

Cuidados e interpretações importantes

  • Esta ferramenta NÃO valida assinatura — isso exige a chave secreta (HMAC) ou pública (RSA/ECDSA), e só faz sentido no servidor.
  • JWT é codificado, não criptografado: qualquer pessoa com o token consegue ler o payload. Não armazene segredos lá.
  • A linha do tempo usa o relógio do navegador. Se o computador estiver com horário errado, "expirado" pode aparecer indevidamente.
Metodologia

Como a estimativa é construída

  • A ferramenta separa o token pelos pontos (esperando exatamente 3 partes) e decodifica cada uma com Base64-URL (substituições - → +, _ → / e padding restaurado).
  • O texto resultante passa por JSON.parse para confirmar que é um objeto válido — caso contrário a entrada é marcada como inválida.
  • Os claims temporais (exp, iat, nbf) são interpretados como timestamps Unix em segundos e formatados em America/Sao_Paulo.
Credibilidade

Revisão editorial

Conteúdo mantido por Equipe editorial do Hub de Utilidades com revisão pública desta versão em 1 de maio de 2026.

  • As ferramentas têm caráter informativo e de apoio prático.
  • Resultados importantes devem ser conferidos com documentos, regras vigentes ou atendimento especializado.
  • Erros, ajustes e sugestões podem ser enviados para tbdevcompany@gmail.com.
  • Esta página foi construída para combinar ferramenta interativa, contexto e navegação relacionada.
  • Se você encontrar divergência material, use o canal de contato para relatar a situação.
Dúvidas comuns

Perguntas frequentes

A ferramenta valida a assinatura do JWT?

Não. A validação da assinatura exige a chave secreta (HMAC) ou a chave pública (RSA/ECDSA), e isso só faz sentido no servidor. Esta ferramenta apenas decodifica e mostra o conteúdo — útil para depuração.

JWT é seguro? Posso colocar dados sensíveis no payload?

Não. JWT é codificado, não criptografado. Qualquer pessoa com o token consegue ler o payload (basta decodificar Base64). Coloque apenas dados que poderiam ser públicos. Para dados sensíveis, use JWE (JSON Web Encryption) ou guarde no servidor.

Como interpretar exp, iat e nbf?

São timestamps Unix (segundos desde 1970-01-01 UTC). exp = quando o token expira; iat = quando foi emitido; nbf = a partir de quando passa a valer. A ferramenta converte para fuso de Brasília e mostra "há X" / "em X" para facilitar.

Por que aparece "JWT expirado"?

O claim exp do payload é menor que o timestamp atual. Tokens expirados são rejeitados pelo backend — a renovação geralmente envolve um refresh token. A ferramenta apenas avisa, não bloqueia a leitura.

Por que minha aplicação manda dados pelo navegador?

Não manda. A página é estática (Next.js export) e a decodificação acontece com JavaScript no seu navegador. Você pode até abrir o DevTools e bloquear a rede — a ferramenta continua funcionando.

Próximos passos

Ferramentas relacionadas

MD5, SHA-1, SHA-256, SHA-384, SHA-512

Gerador de Hash

Calcule hashes MD5, SHA-1, SHA-256, SHA-384 e SHA-512 de texto ou arquivo direto no navegador, com saída em hexadecimal ou base64.

Abrir ferramentaCodificar e decodificar Base64

Conversor Base64

Converta texto para Base64 e vice-versa, com variante URL-safe e codificação de arquivos em Data URL — tudo processado localmente no navegador.

Abrir ferramentaFormatar, minificar e validar JSON

Formatador JSON

Formate, minifique e valide JSON com indentação configurável e ordenação de chaves. Ferramenta 100% local com diagnóstico de erro por linha e coluna.

Abrir ferramenta
Buscas relacionadas

Termos atendidos por esta página

jwt decoderdecodificar jwtjwt onlineinspecionar jwtler payload jwt