Ir para o conteúdo
Logo do CrateX.app

CrateX.app

Decodificador JWT

Decodifique JWTs padrão de três partes localmente, inspecione Header e Payload JSON formatados, copie a Signature bruta e verifique exp/nbf/iat sem validação de assinatura.

Texto de entrada

Caracteres

0 / 16,000

Nota: esta ferramenta apenas decodifica e exibe o token. Ele não verifica a assinatura e as declarações decodificadas podem ser forjadas até que um back-end confiável as valide.
Decodificador JWT

Início rápido

1
Cole o JWT completo com três partes separadas por pontos.
2
Leia JSON de Header e Payload; Signature aparece bruta, sem verificação.
3
Confira exp/nbf/iat com hora local e UTC.
4
Copie a parte necessária; limpe tokens sensíveis ao terminar.

Cenários comuns

Depuração API

inspecione rapidamente o conteúdo do token e compare as declarações

Verificação de expiração

Inspecione campo exp para ver se token é válido

Aprender JWT

Entenda estrutura Header/Payload e codificação Base64URL

Comparação de ambientes

Compare tokens entre dev/test/prod

Dicas de uso

A carga útil decodificada é legível, não confiável. Os sistemas de produção devem verificar a assinatura e validar as regras iss, aud, sub, escopo e revogação no back-end.
Evite colar tokens com dados sensíveis em dispositivos públicos
Campos de tempo são timestamps Unix (segundos); ferramenta converte auto para hora local/UTC

Contrato de decodificador

A entrada deve ser um JWT compacto de três partes no formato header.payload.signature. Tokens JWE de cinco partes e formatos personalizados ficam fora deste decodificador.
O cabeçalho e a carga útil são decodificados por Base64URL como UTF-8 e depois analisados como JSON. Se alguma das partes não for Base64URL ou JSON válida, a entrada de origem permanecerá no lugar e o resultado mostrará o erro de correspondência.
O painel Signature mostra apenas o terceiro segmento bruto. Nenhuma verificação por secret, chave pública, JWK/JWKS ou Web Crypto é realizada aqui.

Limite de segurança

A decodificação JWT roda localmente no navegador. A entrada do token pode permanecer como rascunho do navegador. Se um espaço de trabalho salvo ou a sincronização WebDAV estiver ativado, a entrada do token pode ser salva por essa sincronização. Os dados exibidos de Header, Payload e Signature, cartões de tempo de claims, erros de análise, estado de cópia e histórico de desfazer são derivados do token atual e não são salvos como dados de resultado separados. Esta ferramenta não verifica assinaturas, não busca JWKS nem URLs, não envia tokens, não cria anexos e não cria downloads de arquivos decodificados. Em um dispositivo compartilhado, limpe o token e os dados do site ao terminar.
Se o token contiver informações confidenciais, use um dispositivo privado e limpe a entrada após a inspeção.
A decodificação apenas torna as afirmações legíveis. Isso não prova que o token foi emitido pelo seu servidor, aceito por um API ou seguro para confiança.
alg, kid, iss, aud, sub, scope, role e jti são mostrados como campos JSON simples. Valide-os com seu back-end, metadados do emissor, chaves, regras de público e política de revogação.
O status da hora usa exp e nbf com seu relógio local. A distorção do relógio do servidor, os períodos de carência, a revogação da sessão e o estado do token de atualização podem alterar o resultado real.
Não suportado aqui: verificação de assinatura, entrada de secret ou chave pública, lookup JWK/JWKS, descoberta OIDC, introspecção OAuth, descriptografia JWE, análise de JWT aninhado, geração de token e validação no servidor.

Limitações e compatibilidade

Apenas decodificação Base64URL — sem verificação de assinatura
Apenas JWT padrão de 3 partes suportado; JWE ou formatos personalizados não suportados
JWTs aninhados (JWT no payload) não são processados
O status de tempo não é uma verificação de validade completa. Um token pode não estar expirado e ainda assim ser rejeitado pelo servidor.
Esta página oferece apenas ações de cópia. Ele não baixa, exporta, salva ou compartilha arquivos de token decodificados.

Privacidade e segurança

A decodificação JWT roda localmente no navegador. A entrada do token pode permanecer como rascunho do navegador. Se um espaço de trabalho salvo ou a sincronização WebDAV estiver ativado, a entrada do token pode ser salva por essa sincronização. Os dados exibidos de Header, Payload e Signature, cartões de tempo de claims, erros de análise, estado de cópia e histórico de desfazer são derivados do token atual e não são salvos como dados de resultado separados. Esta ferramenta não verifica assinaturas, não busca JWKS nem URLs, não envia tokens, não cria anexos e não cria downloads de arquivos decodificados. Em um dispositivo compartilhado, limpe o token e os dados do site ao terminar.
Se o token contiver informações confidenciais, use um dispositivo privado e limpe a entrada após a inspeção.

Perguntas frequentes

6

Continue com estas ferramentas relacionadas na próxima etapa.

Sobre

Sobre nós
Preços

Legal

Termos
Política de privacidade
Política de cookies

Preferências

Gerir Cookies

Todo o processamento das ferramentas acontece localmente no seu navegador.