Decodificador JWT
Decodifique e inspecione tokens JWT (JSON Web Token). Visualize header, payload e valide a estrutura localmente.
Ferramentas Relacionadas
O Decodificador JWT do Utilitarioz analisa tokens JSON Web Token sem precisar da chave secreta — exibe header, payload e assinatura formatados, verifica a expiração e mostra todos os claims. Ideal para debugging de autenticação.
Estrutura de um JWT
Um JWT é composto por três partes separadas por ponto: header.payload.signature. Cada parte é codificada em Base64URL. Header identifica o algoritmo (HS256, RS256). Payload contém os claims (dados). Signature garante integridade.
Claims padrão do JWT
- ▸sub (subject) — identificador do usuário
- ▸iss (issuer) — quem emitiu o token
- ▸exp (expiration) — timestamp de expiração
- ▸iat (issued at) — quando foi emitido
- ▸nbf (not before) — válido somente a partir desta data
- ▸jti (JWT ID) — identificador único do token
Segurança: o que este decodificador faz e não faz
Esta ferramenta decodifica (Base64URL decode) o JWT para leitura — não verifica a assinatura criptográfica. Para validar se um JWT é legítimo e não foi adulterado, você precisa da chave secreta ou chave pública. Nunca confie em um JWT sem verificar a assinatura no backend.
Perguntas Frequentes — Decodificador JWT
JWT é seguro para armazenar senhas?
Não. O payload do JWT é apenas codificado em Base64, não criptografado. Qualquer pessoa com o token pode ler os dados. Nunca armazene senhas ou dados sensíveis no payload.
Onde guardar o JWT no frontend?
O debate é entre localStorage (vulnerável a XSS) e cookies httpOnly (vulnerável a CSRF mas com mitigações). Cookies httpOnly com SameSite=Strict são geralmente mais seguros.
JWT expirado ainda pode ser decodificado?
Sim, pode ser decodificado, mas não deve ser aceito pelo servidor. A verificação de exp é responsabilidade da aplicação backend que valida o token.