Token JWT
..
Header Payload Assinatura
Header JOSE Header
Payload Claims
Assinatura Codificada em Base64URL
A assinatura não é verificada. A verificação requer a chave secreta ou certificado público.
Como funciona
Execute esta ferramenta em três passos simples.
01
Cole um token JWT
Cole qualquer JSON Web Token no campo de entrada — ele é decodificado automaticamente ao colar, ou clique em "Decodificar Token".
02
Veja as partes decodificadas
Cada seção tem código de cores e formatação. Ative as explicações de claims para entender o que cada campo significa.
03
Verifique expiração e avisos
Alertas automáticos indicam tokens expirados, claims ausentes, algoritmos fracos ou durações perigosamente longas — tudo processado localmente.
Perguntas
O que as pessoas perguntam antes de usar esta ferramenta.
O que é um JWT (JSON Web Token)?
Um JWT é um formato de token compacto e seguro para URLs usado para autenticação e troca de informações. Consiste em três partes codificadas em Base64URL separadas por pontos: um Header (algoritmo e tipo), um Payload (claims como ID de usuário, expiração) e uma Assinatura (verificação criptográfica). Os JWTs são amplamente usados em OAuth 2.0, OpenID Connect e autenticação de APIs.
Esta ferramenta verifica a assinatura do JWT?
Não. Esta ferramenta decodifica e inspeciona o conteúdo do token (Header e Payload) sem verificar a assinatura. A verificação de assinatura requer a chave secreta ou chave pública, que nunca deve ser compartilhada em uma ferramenta do navegador. Use esta ferramenta apenas para depuração e inspeção — nunca confie em um JWT baseando-se apenas no conteúdo decodificado.
Algo é enviado ao servidor quando decodifico um token?
O token é decodificado no seu navegador para inspeção e o Coda One não o envia durante a decodificação. Ainda assim, você deve evitar colar segredos de produção em qualquer sessão do navegador a menos que sua política de segurança permita.
O que significam os claims padrão do JWT?
Os claims padrão incluem: "iss" (emissor — quem criou o token), "sub" (sujeito — sobre quem é o token), "aud" (audiência — destinatário pretendido), "exp" (tempo de expiração), "nbf" (não antes — o token não é válido antes deste tempo), "iat" (emitido em — quando foi criado) e "jti" (ID do JWT — identificador único para o token). Todos os claims de tempo são timestamps Unix.
Por que meu JWT não decodifica?
Razões comuns: o token não é um JWT válido (deve ter exatamente 3 partes separadas por pontos), a codificação Base64URL está corrompida (ex.: espaços extras ou caracteres ausentes), ou o Header/Payload não é JSON válido. Verifique se copiou o token completo sem truncamento nem espaços extras.
O que significam as partes com código de cores?
O JWT é dividido em três partes com código de cores: o Header (rosa/vermelho) contém metadados como algoritmo e tipo de token; o Payload (roxo) contém os claims — os dados reais; e a Assinatura (azul) é um hash criptográfico usado para verificar que o token não foi alterado.
Funciona em dispositivos móveis?
Sim. A interface é totalmente responsiva. Você pode colar um JWT da sua área de transferência, tocar em Decodificar e inspecionar as três partes em qualquer telefone ou tablet.
Como se compara com jwt.io?
jwt.io também decodifica JWTs no navegador. Esta ferramenta adiciona verificação automática de expiração, avisos de validação (algoritmos fracos, claims ausentes, durações longas), explicações de claims e alternância compacto/formatado — tudo sem enviar dados ao servidor.
Posso usar isso para depurar tokens de OAuth 2.0 ou OpenID Connect?
Sim. Os access tokens de OAuth e os ID tokens de OIDC são tipicamente JWTs. Cole-os aqui para inspecionar scopes, audiência, emissor, expiração e outros claims. Isso é útil para depurar problemas de autenticação de API ou verificar conteúdos de tokens durante o desenvolvimento.
O que significa o aviso do algoritmo "none"?
Um JWT com alg: "none" não tem assinatura criptográfica, o que significa que qualquer um pode falsificar o token modificando o payload. Esta é uma vulnerabilidade de segurança conhecida. JWTs legítimos sempre devem usar um algoritmo de assinatura como HS256, RS256 ou ES256.
Posso decodificar JWTs pela linha de comando?
Sim. Você pode decodificar um JWT com: echo "TOKEN" | cut -d. -f2 | base64 -d | jq . — mas isso requer jq e não lida com o padding de Base64 seguro para URLs. Esta ferramenta faz tudo isso automaticamente mais verificações de expiração e avisos.
Que outras ferramentas do Coda One são úteis para desenvolvimento de APIs?
O <a href="/base64-encode-decode">Codificador Base64</a> ajuda com codificação relacionada a tokens. O <a href="/json-formatter">Formatador JSON</a> é útil para inspecionar respostas de API. O <a href="/hash-generator">Gerador de Hash</a> pode verificar assinaturas HMAC quando você tem a chave secreta.
Relacionado
Continue o fluxo de trabalho.
AI-powered writing tools
10 writing tools free to try — humanize, rewrite, summarize, translate, and more.
O Decodificador JWT do Coda One oferece um fluxo direto de colar e inspecionar para JSON Web Tokens. Confira as três partes com código de cores, inspecione claims, verifique o status de expiração e encontre avisos de validação sem sair da página. É um primeiro passo no navegador para depurar fluxos de autenticação antes de passar para verificação mais profunda com suas próprias chaves e ferramentas.