Decodificador JWT
Cole um token JWT para decodificar e inspecionar instantaneamente seu cabeçalho, conteúdo e assinatura — tudo dentro do seu navegador.
Por que usar o decodificador JWT PixConvert?
Inspeção de tokens sem riscos. Seus tokens nunca saem do seu dispositivo.
Decodificação instantânea
O cabeçalho e o conteúdo são decodificados instantaneamente ao colar o arquivo. Nenhum botão é necessário.
Risco de rede zero
A decodificação de JWT é uma simples análise de URL em base64 no lado do cliente. Os tokens nunca saem do seu navegador.
Detecção de validade
Detecta automaticamente reivindicações exp, iat e nbf e exibe registros de data e hora legíveis para humanos com o status expirado/ativo.
Exibição do algoritmo
Exibe o algoritmo de assinatura (RS256, HS256, ES384, etc.) do cabeçalho.
JSON formatado
A carga útil é exibida em formato JSON formatado para facilitar a leitura e a cópia.
Reivindicações de cópia
Copie todo o conteúdo JSON com um clique para colar em ambientes de teste ou sessões de depuração.
Quando você precisa de um decodificador JWT
A depuração de fluxos de autenticação é mais rápida quando você pode visualizar o conteúdo do token instantaneamente.
Depuração de API
Analise os tokens Bearer nos cabeçalhos de autorização para entender quais declarações sua API recebe.
- Decodificar tokens de acesso
- Verificar funções e permissões do usuário
- Verifique os horários de validade
Desenvolvimento de OAuth e OIDC
Decodificar tokens de ID e tokens de acesso durante a integração com OAuth 2.0 e OpenID Connect.
- Inspecionar declarações id_token
- Verifique os campos de sub-rotina e e-mail.
- Verifique a data de expiração do token e o NBF.
Auditoria de segurança
Analisar o algoritmo e as declarações do JWT como parte de uma avaliação de segurança — no lado do cliente, sem exposição do token.
- Detectar algoritmos fracos (nenhum, HS256)
- Verifique o escopo da reclamação
- Inspecionar o tempo de vida do token
Como decodificar um token JWT
Cole seu token JWT no campo de entrada. O decodificador o divide em pontos e decodifica cada parte em base64url.
O cabeçalho e a carga útil aparecem como JSON formatado. As declarações padrão (exp, iat, sub) são destacadas com rótulos legíveis para humanos.
Inspecione o segmento de assinatura e detecte tokens expirados rapidamente — toda a decodificação é executada localmente, nunca em nossos servidores.
Explore mais ferramentas
Descubra outras ferramentas gratuitas que funcionam muito bem em conjunto com esta.
Codificador Base64
Codificar e decodificar strings Base64
Formatador JSON
Formate, valide e minimize JSON instantaneamente.
Gerador de Hash
Gere hashes MD5, SHA-1 e SHA-256.
Codificador de URL
Codificar e decodificar componentes de URL
Gerador de Senhas
Gere senhas fortes e aleatórias.
Gerador de UUID
Gerar UUIDs e ULIDs v4
Perguntas frequentes
Explicação da decodificação de JWT.
É seguro colar um token JWT aqui?
As seções de cabeçalho e payload de um JWT são codificadas em base64url, não criptografadas — elas podem ser lidas por qualquer pessoa que possua o token. Decodificá-las aqui é equivalente a decodificá-las em seu próprio código. A chave secreta usada para verificação da assinatura nunca é decodificada nem necessária. No entanto, trate os JWTs como senhas — não copie e cole tokens de produção em ferramentas não confiáveis.
Isso verifica a assinatura JWT?
Não. A verificação de assinatura requer a chave secreta (HMAC) ou a chave pública (RSA/ECDSA), que você nunca deve compartilhar com uma ferramenta de terceiros. Este decodificador lê apenas o cabeçalho e a carga útil (os dois primeiros segmentos), que são públicos por definição.
O que é a alegação de experiência?
A declaração exp (expiração) é um timestamp Unix (segundos desde a época Unix) após o qual o token se torna inválido. Esta ferramenta o converte em uma data legível e mostra se o token está ativo ou expirado.
Qual a diferença entre access_token e id_token?
Em OAuth 2.0/OIDC: o access_token autoriza chamadas à API e é opaco ou um JWT. O id_token é sempre um JWT e contém informações de identidade (assinatura, e-mail, nome). Ambos podem ser decodificados aqui.
Por que a assinatura parece uma sequência aleatória de caracteres?
A assinatura é um hash criptográfico do cabeçalho e da carga útil, assinado com a chave secreta ou privada do emissor. São dados binários codificados em base64url — não se destinam à leitura por humanos. Seu propósito é a verificação, não a inspeção.