JWT Decoder — Offline

Cole um JSON Web Token e inspecione header, payload e claims — tudo no navegador. Diferencial: funciona 100% offline, sem enviar o token a nenhum servidor externo (ao contrário do jwt.io). Ideal para inspecionar tokens de desenvolvimento com dados sensíveis.

100% offline — o token nunca sai do navegador. Sem API externa, sem log.

Sobre a ferramenta

Qual a diferença entre este JWT Decoder e o jwt.io?

O diferencial é o offline: esta ferramenta decodifica o token inteiramente no seu navegador, sem enviar nenhum byte a servidor externo — ao contrário do jwt.io, que processa o token em servidores de terceiros. Se você precisa inspecionar tokens que contêm dados sensíveis (ambiente de desenvolvimento, tokens com claims pessoais), use esta ferramenta para garantir que o token não saia do dispositivo.

O que é JWT e como funciona?

JWT (JSON Web Token) é um formato compacto e assinado para transmitir informações entre partes. Ele tem 3 partes separadas por pontos: header.payload.assinatura. O header e o payload são apenas codificados em base64url (não criptografados) — qualquer pessoa com o token pode lê-los. Apenas a assinatura garante que o token não foi adulterado, e validá-la exige a chave secreta do servidor.

O payload JWT é criptografado?

Não. O payload é apenas codificado em base64url — não é criptografado nem oculto. Por isso, nunca coloque senhas, chaves ou dados altamente sensíveis diretamente no payload de um JWT padrão. Para payloads criptografados, existe o padrão JWE (JSON Web Encryption), que é diferente do JWT/JWS comum.

Por que a assinatura não é validada?

Validar a assinatura exige a chave secreta (HMAC) ou a chave pública (RSA/EC) do servidor que emitiu o token. Essas chaves nunca devem ser expostas no front-end. A decodificação (leitura do header/payload) é possível sem a chave; a verificação de autenticidade é responsabilidade do backend.