Converter
CodificaçãoCodificador/Decodificador JWT
Ferramenta online gratuita de codificação e decodificação JWT (Token Web JSON). Crie tokens JWT ou decodifique e analise tokens existentes instantaneamente. Visualize cabeçalho, payload, assinatura e informações de claims. Suporta algoritmos HMAC (HS256, HS384, HS512).
Codificador/Decodificador JWT - Criar e Decodificar Tokens Web JSON Online
Uma poderosa ferramenta online de codificação e decodificação JWT (Token Web JSON) que permite criar novos tokens JWT ou decodificar, inspecionar e entender tokens existentes instantaneamente. Codifique cabeçalho e payload com assinatura HMAC (HS256, HS384, HS512), ou decodifique o cabeçalho (cabeçalho JOSE), payload (claims) e assinatura de qualquer token JWT. Visualize claims padrão como emissor, assunto, audiência, tempo de expiração e mais. Perfeito para desenvolvedores, profissionais de segurança e qualquer pessoa trabalhando com autenticação baseada em JWT, OAuth 2.0, OpenID Connect e segurança de API.
O que é JWT (Token Web JSON)?
JWT (Token Web JSON) é um padrão aberto (RFC 7519) para transmitir informações com segurança entre partes como um objeto JSON. É um formato de token compacto, seguro para URL, assinado digitalmente para verificar autenticidade e integridade.
Estrutura JWT:
Um JWT consiste em três partes separadas por pontos (.): cabeçalho.payload.assinatura
1. Cabeçalho (Cabeçalho JOSE):
- Contém metadados do token
- Especifica o algoritmo de assinatura (ex: HS256, RS256, ES256)
- Define o tipo de token (geralmente "JWT")
- Exemplo: {"alg":"HS256","typ":"JWT"}
2. Payload (Claims):
- Contém os dados reais (claims)
- Inclui claims registrados (iss, exp, sub, aud, etc.)
- Pode incluir claims personalizados (ID do usuário, funções, permissões, etc.)
- Exemplo: {"sub":"1234567890","name":"João Silva","iat":1516239022}
3. Assinatura:
- Verifica se o token não foi adulterado
- Criado codificando o cabeçalho e payload, depois assinando com uma chave secreta
- Algoritmos diferentes usam métodos de assinatura diferentes
Usos comuns:
- Autenticação: Sessões de login de usuário
- Autorização: Controle de acesso e permissões
- Troca de Informações: Transmissão segura de dados
- Segurança de API: Autenticação stateless para APIs REST
- Single Sign-On (SSO): Autenticação cross-domain
- OAuth 2.0 & OpenID Connect: Autorização baseada em token
JWT é codificado em base64url (não criptografado), o que significa que qualquer um pode decodificar e ler o conteúdo. A assinatura garante que o token não foi modificado, mas não criptografa os dados. Nunca coloque informações sensíveis como senhas ou números de cartão de crédito em um payload JWT.
Como decodificar um token JWT?
Decodificar um token JWT é simples com esta ferramenta:
1. Copie seu token JWT (a string longa começando com eyJ...)
2. Cole-o no campo de entrada "Token JWT"
3. Clique no botão "Decodificar JWT"
4. Visualize os resultados decodificados:
- Cabeçalho: Mostra algoritmo e tipo de token
- Payload: Mostra todos os claims (dados)
- Assinatura: Mostra a parte da assinatura (codificada em base64url)
- Claims Padrão: Interpretação legível por humanos de claims comuns
- Informações do Token: Algoritmo, tipo e status de expiração
Exemplo JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaMOjbyBTaWx2YSIsImlhdCI6MTUxNjIzOTAyMn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Cabeçalho Decodificado:
{
"alg": "HS256",
"typ": "JWT"
}
Payload Decodificado:
{
"sub": "1234567890",
"name": "João Silva",
"iat": 1516239022
}
A ferramenta automaticamente:
- Valida o formato JWT (3 partes separadas por pontos)
- Decodifica cabeçalho e payload em base64url
- Analisa a estrutura JSON
- Formata a saída para legibilidade
- Identifica e explica claims padrão
- Verifica status de expiração do token
- Mostra timestamps legíveis por humanos para claims de data
JWT é seguro? Quais são as considerações de segurança?
JWT pode ser seguro quando usado corretamente, mas existem considerações de segurança importantes e vulnerabilidades potenciais a estar ciente:
Forças de Segurança:
✓ À prova de adulteração: Assinatura previne modificação
✓ Stateless: Sem necessidade de armazenamento de sessão no servidor
✓ Portátil: Funciona entre domínios e serviços
✓ Padrão: Especificação bem definida (RFC 7519)
✓ Flexível: Suporta múltiplos algoritmos
Considerações de Segurança & Melhores Práticas:
1. JWT NÃO é Criptografado (por padrão):
- Qualquer um pode decodificar e ler o payload
- Nunca armazene dados sensíveis em JWT (senhas, cartões de crédito, CPF)
- Considere JWE (Criptografia Web JSON) para tokens criptografados
- Use HTTPS para transmitir tokens JWT
2. Segurança da Chave Secreta:
- Use chaves secretas fortes e aleatórias (256+ bits para HS256)
- Nunca commit chaves para controle de versão
- Rotacione chaves periodicamente
- Use variáveis de ambiente ou sistemas de gerenciamento de chaves
- Chaves diferentes para ambientes diferentes
3. Ataques de Confusão de Algoritmo:
- Sempre valide o algoritmo no servidor
- Rejeite tokens com "alg": "none"
- Não deixe o token ditar qual algoritmo usar
- Especifique explicitamente algoritmos permitidos
4. Expiração de Token:
- Sempre inclua claim 'exp'
- Use tempos de expiração curtos (15-60 minutos)
- Implemente tokens de atualização para sessões de longa duração
- Verifique expiração em cada solicitação
5. Armazenamento de Token:
- Navegador: cookies httpOnly + Secure (melhor para web)
- Móvel: Armazenamento seguro (Keychain, KeyStore)
- Nunca armazene em localStorage (vulnerável a XSS)
- Nunca armazene em cookies regulares sem flag httpOnly
6. Revogação de Token:
- JWT é stateless (não pode revogar por padrão)
- Implemente blacklist de token para tokens revogados
- Use expiração curta + tokens de atualização
- Considere claim JTI (ID JWT) para rastreamento
- Mantenha lista de JTIs revogados em Redis/banco de dados
Importante: Esta ferramenta de decodificação é para propósitos de desenvolvimento, depuração e educacionais. Para aplicações de produção, SEMPRE valide tokens JWT no lado do servidor usando bibliotecas estabelecidas!
Meu token JWT está seguro ao usar este decodificador?
Sim, seu token JWT está completamente seguro e privado ao usar este decodificador. Aqui está o porquê:
Recursos de Privacidade & Segurança:
✓ 100% de Processamento no Cliente:
- Toda decodificação acontece no seu navegador
- JavaScript roda localmente no seu computador
- Sem processamento no lado do servidor
- Sem transmissão de dados
✓ Sem Transmissão de Dados:
- Seu JWT nunca sai do seu computador
- Sem dados enviados para qualquer servidor
- Sem chamadas de API
- Sem serviços externos
✓ Sem Armazenamento:
- Não armazenamos nenhum token
- Sem registro de dados
- Sem cookies rastreando seus tokens
- Sem análises em dados de token
✓ Sem Rastreamento:
- Não rastreamos quais tokens você decodifica
- Sem análises em dados decodificados
- Design focado em privacidade
✓ Funciona Offline:
- Após carregar a página, funciona sem internet
- Desconecte e ainda funciona
- Prova que não há transmissão de dados
✓ Código Aberto:
- Código visível na fonte da página
- Você pode verificar a implementação
- Operação transparente
Como Verificar Privacidade:
1. Verifique Aba Network:
- Abra DevTools do navegador (F12)
- Vá para aba Network
- Decodifique um token JWT
- Observe: Nenhuma solicitação de rede feita
2. Teste Offline:
- Carregue esta página
- Desconecte da internet
- Tente decodificar um token
- Ainda funciona!
3. Revise Código-Fonte:
- Visualize fonte da página
- Verifique o código JavaScript
- Verifique que não há chamadas externas
No entanto, Lembretes Importantes:
⚠️ JWT NÃO é Criptografado:
- Payload JWT é codificado em Base64 (não criptografado)
- Qualquer um com o token pode decodificá-lo
- Não coloque dados sensíveis em payloads JWT
- Isso se aplica a TODOS os decodificadores JWT (não apenas este)
Sua privacidade é garantida porque tudo acontece localmente no seu navegador. No entanto, lembre-se de que tokens JWT são projetados para serem legíveis por qualquer um que os tenha. A assinatura garante que não podem ser modificados, não que não podem ser lidos. Sempre siga as melhores práticas JWT e nunca coloque dados verdadeiramente sensíveis (senhas, cartões de crédito, etc.) em payloads JWT.
Principais Recursos
- Decodificar tokens JWT instantaneamente
- Visualizar cabeçalho (cabeçalho JOSE) com algoritmo e tipo de token
- Visualizar payload com todos os claims e dados personalizados
- Visualizar assinatura (codificada em base64url)
- Detecção automática de claims padrão JWT (iss, sub, aud, exp, nbf, iat, jti)
- Formatação de timestamp legível por humanos para claims de data
- Verificador de status de expiração de token
- Suporte para todos os algoritmos JWT (HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512)
- Realce e formatação de sintaxe JSON
- Seção de informações de claims com explicações detalhadas
- Copiar partes decodificadas para área de transferência
- Baixar saída decodificada
- Carregar arquivos JWT para decodificação
- Suporte a modo escuro
- 100% de processamento no cliente - tokens nunca saem do navegador
- Funciona offline após carregamento inicial
- Sem limites de tamanho de token
- Design responsivo amigável para dispositivos móveis
- Mensagens de erro claras para tokens inválidos
- Informações educacionais sobre segurança JWT
- Nenhum registro ou login necessário
CODIFICAçãO & HASH61
- Codificador/Decodificador Base32
- Codificador/Decodificador Base58
- Codificador/Decodificador Base64
- Codificador/Decodificador Base85
- Codificador/Decodificador Hex
- Codificador/Decodificador JWT
- Codificador/Decodificador URL
- Codificador/Decodificador de Entidades HTML
- Codificador/Decodificador de Imagem Base64
- Conversor Punycode
- Código Morse
- Gerador HMAC
- Gerador de Hash Bcrypt
- Gerador de Hash MD5
- Gerador de Hash SHA-1
- Gerador de Hash SHA-256
- Gerador de Hash SHA-512
- ROT Cipher
- Extrator de Schema
- Conversor YAML-JSON
- Combinador de Fontes Google
- Visualizador de Árvore JSON
- Conversor CSV-SQL
- Conversor XML-JSON
- Gerador de Slug URL
- Testador Robots.txt
- Visualizador HTML
- Gerador de Redirecionamento
