Ir para o conteúdo principal
DesenvolvedorProProcessado no seu navegador

Decodificador JWT

Inspecione e debuge o payload de tokens JWT (JSON Web Tokens).

0 de 2 usos hoje · 2 restantes. Vire Pro e remova o limite.

Upgrade
Decodificador JWTValidação localPEM + diagnóstico

Decodificador JWT

Inspecione tokens JWT, valide assinatura com PEM e diagnostique riscos localmente.

Algoritmo

Claims

Expiração

Diagnóstico

6 avisos

01

Token JWT

Token

02

Validar Assinatura

Chave pública (PEM)

03

Header e Payload

Header
Payload
Claims em destaque
Decodifique um token para ver os claims.
Datas humanizadas
Decodifique um token para ver as datas.
Diagnóstico
Algoritmo não informado
Sem exp (expiração)
Sem iat (emissão)
Sem nbf (início de validade)
Sem iss (emissor)
Sem aud (audiência)
Sobre

O que é Decodificador JWT?

Por Quorify EditorialAtualizado em

Um JSON Web Token, ou JWT, é uma string compacta usada para transportar informações de autenticação e autorização entre sistemas. Ele é formado por três partes separadas por ponto: o header, que descreve o algoritmo e o tipo do token; o payload, que carrega as claims, ou seja, os dados como identificador do usuário, escopos de permissão e prazo de validade; e a assinatura, que garante que o token não foi adulterado. As duas primeiras partes são apenas codificadas em Base64Url, não criptografadas, o que significa que qualquer pessoa pode ler seu conteúdo. O decodificador JWT do Quorify faz exatamente essa leitura: separa as partes e exibe o header e o payload em JSON legível. É fundamental entender uma distinção que confunde muita gente: decodificar um JWT não é o mesmo que validá-lo. A ferramenta lê e mostra o conteúdo do token, mas não verifica a assinatura, porque a verificação exige a chave secreta ou pública do emissor, que nunca deve circular em uma ferramenta de inspeção. Em outras palavras, o decodificador responde à pergunta o que tem dentro deste token, e não este token é autêntico e confiável. Essa diferença é a base de uma boa higiene de segurança ao trabalhar com JWTs. Na prática, decodificar é o que você precisa durante a depuração no dia a dia. Quando uma requisição autenticada falha, ver o payload responde rapidamente várias perguntas: o token já expirou, conforme a claim de expiração? O identificador do usuário está correto? Os escopos de permissão batem com o que a rota exige? Para qual público o token foi emitido? Em vez de copiar o token para um terminal e rodar comandos, você cola na ferramenta e tem o header e o payload formatados na hora, com as claims organizadas e fáceis de inspecionar. O ponto mais sensível é a privacidade, e aqui a arquitetura importa. A decodificação acontece inteiramente dentro do seu navegador: o token não é enviado a nenhum servidor para ser lido. Ainda assim, vale uma recomendação de prudência: evite colar tokens de produção válidos em qualquer ferramenta, mesmo locais, porque um JWT em uso é uma credencial ativa. Para depuração, prefira tokens de ambiente de teste ou já expirados. Decodificar localmente reduz o risco, mas a melhor proteção continua sendo nunca expor um token de produção fora do fluxo onde ele realmente precisa estar.

Casos

Quando usar

  1. Um desenvolvedor recebe um erro de autorização numa API e suspeita que o token expirou. Colando o JWT no decodificador, ele lê a claim de expiração no payload e confirma em segundos que o token já estava vencido.

  2. Durante a integração com um provedor de identidade, um time precisa conferir quais escopos de permissão estão sendo emitidos. O decodificador mostra as claims do payload, revelando exatamente quais permissões o token concede.

  3. Um estudante aprendendo sobre autenticação quer entender a anatomia de um JWT. Decodificando um token de exemplo, ele vê as três partes e percebe que header e payload são apenas Base64, não criptografados.

  4. Um desenvolvedor de back-end depura por que um token emitido por outro serviço é rejeitado. Lendo o header, ele descobre que o algoritmo de assinatura declarado não é o que sua aplicação esperava validar.

  5. Um analista de QA precisa verificar se o identificador de usuário dentro do token corresponde ao usuário logado no teste. O payload decodificado expõe o campo de identificador para conferência imediata.

Método

Como funciona

Para inspecionar um token, cole a string JWT completa no campo de entrada, incluindo as três partes separadas por ponto. A ferramenta separa o header, o payload e a assinatura, e decodifica as duas primeiras partes de Base64Url para JSON legível, exibindo cada uma de forma organizada. No header você vê o algoritmo e o tipo declarados; no payload você encontra as claims, como identificador do usuário, escopos, emissor, público-alvo e prazos de validade. A assinatura é mostrada como está, sem ser verificada, já que a validação exigiria a chave secreta do emissor. Use o payload decodificado para responder às perguntas típicas da depuração: confira a claim de expiração para saber se o token ainda é válido no tempo, verifique se o identificador e os escopos correspondem ao esperado, e cheque o emissor e o público-alvo. Lembre-se de que ler o conteúdo não significa confirmar a autenticidade: para isso, sua aplicação precisa verificar a assinatura com a chave correta. Como toda a decodificação ocorre no navegador, o token não trafega para fora; ainda assim, prefira usar tokens de teste ou já expirados em vez de credenciais de produção ativas.

FAQ

Perguntas frequentes

Decodificar um JWT é o mesmo que validá-lo?
Não. Decodificar apenas lê e exibe o conteúdo do header e do payload, que estão em Base64. Validar significa verificar a assinatura com a chave secreta ou pública do emissor para confirmar que o token é autêntico e não foi adulterado, e essa verificação a ferramenta não faz.
Por que o payload é legível sem nenhuma senha?
Porque o header e o payload de um JWT são apenas codificados em Base64Url, não criptografados. Qualquer pessoa com o token pode lê-los. A segurança do JWT está na assinatura, que impede a adulteração, e não no sigilo do conteúdo do payload.
É seguro colar meu token aqui?
A decodificação ocorre inteiramente no seu navegador, sem enviar o token a servidores. Ainda assim, por prudência, evite colar tokens de produção válidos em qualquer ferramenta, pois eles são credenciais ativas. Prefira tokens de teste ou já expirados para depurar.
Como sei se o token expirou?
No payload decodificado, procure a claim de expiração, normalmente exp, que indica até quando o token é válido. Comparando esse instante com a data atual, você confirma se o token ainda está dentro do prazo ou se já venceu.
A ferramenta verifica a assinatura do token?
Não. A verificação de assinatura exige a chave do emissor, que nunca deve circular em uma ferramenta de inspeção. O decodificador exibe a assinatura como está, mas a validação da autenticidade deve ser feita pela sua aplicação com a chave correta.
O que faço se o token não decodificar?
Confira se você colou a string completa, com as três partes separadas por ponto. Um token truncado, com espaços extras ou com apenas uma parte não pode ser decodificado corretamente. Copie o JWT inteiro novamente da fonte original e tente de novo.
Fontes

Fontes oficiais

Tabelas, leis e referências consultadas para fundamentar esta ferramenta.

  1. Documentação técnicaVigenteMDN Web Docs · Mozilla

    Web Standards

    Referência mais consultada do mundo para padrões da web — APIs JavaScript, HTML, CSS e protocolos do navegador.

    Consultar fonte oficial
  2. Standard internacionalVigenteWorld Wide Web Consortium (W3C)

    W3C Standards

    Organização que define os padrões oficiais da web — HTML, CSS, ARIA, e demais especificações implementadas por todos os navegadores.

    Consultar fonte oficial
  3. Standards internacionaisDatatrackerIETF · Internet Engineering Task Force

    RFC Documents

    Repositório oficial dos Request for Comments (RFCs) — documentos técnicos que definem protocolos e formatos da internet (HTTP, JSON, URI, UUID, etc).

    Consultar fonte oficial

Metodologia — esta ferramenta consulta as tabelas e legislação vigentes nas fontes acima. As regras são atualizadas conforme novas instruções normativas são publicadas pelos órgãos competentes.

Última verificação editorial: junho de 2026.

PatrocinadoQuorify · plano gratuito
Quorify Pro

Use o Quorify sem limites

100 usos/dia em todas as 125 ferramentas · sem anúncios · histórico estendido

A partir deR$ 16/mês
Ver planos
Compartilhe

§ Como usar

Como decodificar e validar JWT

Decodifique header e payload de qualquer JWT, valide o tempo de expiração e veja o algoritmo usado.

  1. Cole o JWT completo

    Cole o token (3 partes separadas por ponto: header.payload.signature). Pode incluir 'Bearer ' — removemos automaticamente.

  2. Veja header e payload

    Header (algoritmo, tipo) e payload (claims) decodificados em JSON formatado. Tudo local, nada vai pra servidor.

  3. Verifique expiração e claims importantes

    iat (issued at), exp (expira em), iss (emissor), sub (sujeito), aud (audiência) destacados. Avisa se o token expirou.

§ Por que usar

Benefícios

  • Decodificação processado localmente

    Tokens podem conter dados sensíveis (user ID, claims). Aqui tudo é processado no navegador via Base64 nativo.

  • Header e payload formatados

    JSON formatado e sintaxe colorida para inspeção rápida. Algoritmo de assinatura destacado.

  • Verificação de expiração

    Avisa se o token expirou (campo exp). Mostra também iat, iss, sub, aud em destaque.

  • Aceita 'Bearer ' prefixo

    Cole o token como vem do header Authorization — removemos o prefixo Bearer automaticamente.

§ Para quem é

Casos de uso

  1. Desenvolvedor backend

    Inspeciona token recebido em headers Authorization para debugar claims, validade e algoritmo durante desenvolvimento.

  2. Engenheiro de segurança

    Audita tokens em produção (com máscara de dados sensíveis) para validar implementação correta.

  3. Estudante aprendendo OAuth/OIDC

    Visualiza estrutura de JWT real para entender header/payload/signature em vez de só ler documentação.

Sobre Decodificador JWT

Inspecione e debuge o payload de tokens JWT (JSON Web Tokens).

Por que usar

Diferenciais reais — sem promessa vazia.

Decodificação processado localmente
Tokens podem conter dados sensíveis (user ID, claims). Aqui tudo é processado no navegador via Base64 nativo.
Header e payload formatados
JSON formatado e sintaxe colorida para inspeção rápida. Algoritmo de assinatura destacado.
Verificação de expiração
Avisa se o token expirou (campo exp). Mostra também iat, iss, sub, aud em destaque.
Aceita 'Bearer ' prefixo
Cole o token como vem do header Authorization — removemos o prefixo Bearer automaticamente.

Para quem é

Cenários reais de uso, por persona.

  • Desenvolvedor backend

    Inspeciona token recebido em headers Authorization para debugar claims, validade e algoritmo durante desenvolvimento.

  • Engenheiro de segurança

    Audita tokens em produção (com máscara de dados sensíveis) para validar implementação correta.

  • Estudante aprendendo OAuth/OIDC

    Visualiza estrutura de JWT real para entender header/payload/signature em vez de só ler documentação.

Como decodificar e validar JWT

Decodifique header e payload de qualquer JWT, valide o tempo de expiração e veja o algoritmo usado.

  1. Cole o JWT completo

    Cole o token (3 partes separadas por ponto: header.payload.signature). Pode incluir 'Bearer ' — removemos automaticamente.

  2. Veja header e payload

    Header (algoritmo, tipo) e payload (claims) decodificados em JSON formatado. Tudo local, nada vai pra servidor.

  3. Verifique expiração e claims importantes

    iat (issued at), exp (expira em), iss (emissor), sub (sujeito), aud (audiência) destacados. Avisa se o token expirou.

§ Perguntas frequentes

Sobre esta ferramenta

A.

NÃO. Decodificar (Base64) revela o conteúdo mas qualquer um faz. Validar a assinatura requer a chave secreta (HMAC) ou pública (RSA/ECDSA). Esta ferramenta só decodifica — para validação assinada, faça no backend com a chave correta.

PatrocinadoQuorify · plano gratuito
Quorify Pro

Use o Quorify sem limites

100 usos/dia em todas as 125 ferramentas · sem anúncios · histórico estendido

A partir deR$ 16/mês
Ver planos

Relacionadas

Ferramentas relacionadas

toolLayout.related_description

Pro

JSON para CSV

Exporte matrizes e arrays JSON perfeitamente para planilhas CSV.

Grátis

Minificador CSS

Otimize folhas de estilo CSS para máxima performance.

Grátis

Minificador JS

Reduza o tamanho dos seus scripts Javascript com segurança.

Grátis

Minificador HTML

Comprima seu código HTML removendo espaços mortos e economizando banda.

Grátis

Editor Markdown

Escreva e visualize código Markdown em tempo real.

Grátis

Codificador Base64

Codifique e decodifique textos em Base64 online.