Decodificador / Inspetor / Validador JWT
Decodifique, inspecione e verifique tokens JWT — header, payload, claims e assinaturas HMAC. Tudo é processado no seu navegador
| Claim | Valor | Significado | Status |
|---|
Verificação de assinatura RSA e EC
A verificação de assinatura RSA e EC requer a importação de chaves públicas através da Web Crypto API. Esta funcionalidade está prevista para uma atualização futura.
Para tokens baseados em HMAC (HS256, HS384, HS512), a verificação completa de assinatura está disponível agora usando a opção Segredo HMAC.
Verificação de assinatura RSA e EC
A verificação de assinatura RSA e EC requer a importação de chaves públicas através da Web Crypto API. Esta funcionalidade está prevista para uma atualização futura.
Para tokens baseados em HMAC (HS256, HS384, HS512), a verificação completa de assinatura está disponível agora usando a opção Segredo HMAC.
O que é um JWT?
Um JSON Web Token (JWT) é um formato de token compacto e seguro para URL para transmitir informações de forma segura entre partes. Consiste em três partes codificadas em Base64URL separadas por pontos.
Header
O header contém tipicamente dois campos: o algoritmo de assinatura (alg) e o tipo de token (typ).
Payload (Claims)
O payload contém claims — declarações sobre o utilizador e metadados. Os claims padrão incluem:
| Claim | Nome | Descrição |
|---|---|---|
iss | Emissor | Quem emitiu o token |
sub | Sujeito | Sobre quem é o token |
aud | Audiência | Destinatário pretendido do token |
exp | Expiração | Quando o token expira (marca temporal Unix em segundos) |
nbf | Não Antes De | O token não é válido antes desta hora |
iat | Emitido Em | Quando o token foi criado |
jti | JWT ID | Identificador único do token |
Assinatura
A assinatura é criada codificando o header e o payload, unindo-os com um ponto e assinando com o algoritmo especificado no header.
base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret
)
Conceitos Errados Comuns
Melhores Práticas de Segurança
Tips
Decodificar Não Significa Confiar
Qualquer pessoa pode decodificar um JWT — Base64URL não é encriptação. Decodificar revela o conteúdo, mas apenas a verificação de assinatura prova que o token não foi adulterado.
Verifique a Expiração Antes de Usar
O claim exp (expiração) é uma marca temporal Unix em segundos. Verifique sempre que está no futuro antes de confiar num token. Esta ferramenta mostra o estado temporal instantaneamente.
alg: none É um Risco de Segurança
O algoritmo "none" significa que o token não tem assinatura. Aceitá-lo em produção pode permitir que atacantes falsifiquem tokens. Rejeite sempre alg: none no seu servidor.
Os JWT Não São Encriptados por Defeito
Os JWT padrão (JWS) são apenas assinados, não encriptados. O payload é legível por qualquer pessoa com o token. Nunca armazene palavras-passe, números de cartão de crédito ou outros segredos num payload JWT.
Casos de Uso Comuns
Depuração de API
Cole tokens de acesso de respostas API para inspecionar rapidamente claims, verificar expiração e verificar o emissor sem sair do seu navegador.
Teste de Fluxo de Autenticação
Decodifique tokens em cada passo dos fluxos OAuth2 ou OpenID Connect para verificar que os scopes, audiência e claims corretos estão presentes.
Monitorização de Expiração de Tokens
Verifique quando os tokens expiram para depurar problemas de timeout de sessão. A ferramenta mostra diferenças de tempo legíveis como "expira em 14 minutos".
Verificação de Pipeline CI/CD
Verifique que os tokens de serviço para serviço contêm os claims esperados antes de implementar. Cole tokens de logs do pipeline para inspecioná-los.
Auditoria de Segurança
Inspecione tokens para fugas de dados sensíveis (PII no payload), algoritmos fracos (alg: none) ou claims de segurança em falta (exp, aud, iss).