Decodificador JWT

Um JWT (JSON Web Token) é um token compacto e seguro para URL usado para autenticação e troca de informações entre as partes. A decodificação de um JWT permite visualizar o cabeçalho (tipo de token e algoritmo), a carga útil (reivindicações e dados do usuário) e a assinatura. Os desenvolvedores decodificam JWTs para depurar problemas de autenticação, inspecionar permissões de usuário ou entender o conteúdo do token durante o desenvolvimento.

Basta colar seu token JWT no campo de entrada e clicar em "Decode JWT". A ferramenta analisará imediatamente o token e exibirá o cabeçalho e a carga útil no formato JSON legível. Você verá todas as reivindicações, tempos de expiração, informações do emissor e quaisquer dados personalizados armazenados no token.

Não, esse decodificador exibe apenas o conteúdo do cabeçalho e da carga útil do JWT - ele não verifica a assinatura. A verificação da assinatura requer a chave secreta ou a chave pública, que nunca deve ser compartilhada ou inserida em ferramentas on-line. Por segurança, sempre verifique os JWTs no lado do servidor usando bibliotecas adequadas com suas chaves secretas.

Um JWT decodificado normalmente mostra: o tipo de token e o algoritmo de assinatura no cabeçalho; e declarações como "iss" (emissor), "sub" (sujeito), "aud" (público), "exp" (tempo de expiração), "iat" (emitido em) e quaisquer declarações personalizadas na carga útil. Essas informações ajudam você a entender quem emitiu o token, quando ele expira e quais permissões ou dados ele contém.

A decodificação de JWTs no lado do cliente é geralmente segura, pois os JWTs são projetados para serem lidos por qualquer pessoa - eles são codificados em base64, não criptografados. Entretanto, nunca decodifique JWTs que contenham dados altamente confidenciais usando ferramentas públicas on-line. Essa ferramenta processa tokens inteiramente em seu navegador sem enviar dados aos servidores, mas evite usá-la com tokens de produção que contenham informações confidenciais.

Os JWTs seguem uma estrutura padrão com três partes codificadas em base64 separadas por pontos: header.payload.signature. O cabeçalho descreve o tipo de token e o algoritmo, a carga útil contém as declarações e os dados e a assinatura garante que o token não foi adulterado. Essa estrutura torna os JWTs compactos e seguros para a URL, mantendo a segurança.

Os JWTs decodificados contêm uma reivindicação 'exp' (expiração), que é um carimbo de data/hora Unix. Compare esse registro de data e hora com a hora atual - se a hora atual for maior que o valor exp, o token expirou. O decodificador exibe esse carimbo de data/hora em formato legível para ajudá-lo a verificar a validade do token.

"iat" (emitido em) mostra quando o token foi criado, "exp" (tempo de expiração) indica quando ele expira e "nbf" (não antes) especifica quando o token se torna válido. Esses carimbos de data/hora ajudam a controlar o ciclo de vida do token e evitam a reutilização do token em diferentes períodos de tempo.

Sim! Os tokens de acesso do OAuth 2.0 e os tokens de ID do OpenID Connect geralmente usam o formato JWT. A decodificação deles revela escopos, permissões, identificadores de usuário e detalhes de autenticação. Isso é inestimável para depurar fluxos de autenticação, verificar as permissões concedidas e solucionar problemas de integração.