Descodificador de JWT

Cola um JWT e vê o cabeçalho, payload e claims descodificados.

Ferramentas

Dicas

  • Cola qualquer JWT — as três partes são separadas por pontos: cabeçalho.payload.assinatura.
  • O cabeçalho e o payload são JSON codificado em base64url e são descodificados inteiramente no teu browser.
  • A assinatura não pode ser verificada sem a chave secreta — esta ferramenta apenas descodifica, não valida.
  • Claims comuns no payload: sub (sujeito), iss (emissor), exp (expiração em timestamp Unix), iat (emitido em).

O que é um JWT?

Um JSON Web Token (JWT) é um formato compacto e seguro para URLs que transmite claims entre duas partes. É amplamente usado para autenticação e autorização — quando fazes login num serviço, recebes frequentemente um JWT que comprova a tua identidade nos pedidos seguintes.

Os JWTs não são encriptados por defeito; são apenas codificados em base64url e opcionalmente assinados. Isto significa que o conteúdo do cabeçalho e do payload é legível por qualquer pessoa que tenha o token. Nunca coloques informação sensível num payload JWT a não ser que o token também seja encriptado (JWE).

Estrutura de um JWT

  • Cabeçalhocontém o tipo de token (typ) e o algoritmo de assinatura (alg), como HS256 ou RS256.
  • Payloadcontém os claims — declarações sobre o utilizador ou sessão. Os claims padrão incluem sub, iss, aud, exp, nbf e iat.
  • Assinaturauma assinatura criptográfica criada ao assinar o cabeçalho e o payload codificados com uma chave secreta ou privada. Verifica que o token não foi adulterado.