Skip to main content
CheckTown
Dev Tools

Decodificador JWT: Inspecione e depure JSON Web Tokens online

Publicado 5 min de leitura
Neste artigo

O que é um JWT?

Um JSON Web Token (JWT) é um token compacto e seguro para uso em URLs, utilizado para representar declarações entre duas partes. JWTs são a base dos sistemas modernos de autenticação e autorização — são emitidos pelos servidores após o login e enviados em requisições API subsequentes para comprovar identidade.

Um JWT é composto por três partes codificadas em Base64URL, separadas por pontos: o cabeçalho (algoritmo e tipo do token), o payload (declarações e dados) e a assinatura (verificação de integridade). A assinatura é criada com uma chave secreta ou privada, tornando os tokens resistentes a adulteração.

Como funciona a decodificação de JWT

Decodificar um JWT revela seu conteúdo sem verificar a assinatura — útil para depuração, mas não para decisões de segurança.

  • Decodificação do cabeçalho — revela o algoritmo de assinatura (HS256, RS256, etc.) e o tipo do token
  • Decodificação do payload — expõe todas as declarações, incluindo ID do usuário, funções, tempo de expiração e dados personalizados
  • Verificação de expiração — calcula se o token expirou com base na declaração exp

Experimente gratuitamente — sem cadastro

Decodificar um JWT Token →

Quando usar a decodificação de JWT

A decodificação de JWT é essencial durante o desenvolvimento de APIs e fluxos de trabalho de depuração.

  • Depuração de API — inspecione o conteúdo do token quando requisições falham com erros 401 ou 403
  • Testes de integração — verifique se o servidor de autenticação está incorporando as declarações corretas nos tokens emitidos
  • Diagnóstico de expiração — verifique rapidamente se falhas de autenticação são causadas por tokens expirados

Perguntas frequentes

Posso confiar no conteúdo decodificado de um JWT?

A decodificação revela o payload, mas não verifica a assinatura. Nunca tome decisões de segurança com base no conteúdo decodificado de um token, a menos que a assinatura tenha sido verificada com o segredo ou chave pública corretos. O decodificador da CheckTown destina-se apenas à inspeção.

O que nunca devo colocar em um payload JWT?

Nunca armazene informações sensíveis como senhas, números de cartão de crédito ou chaves privadas em payloads JWT. JWTs são codificados, não criptografados — qualquer pessoa que intercepte o token pode decodificar o payload sem a chave de assinatura.

Qual é a diferença entre HS256 e RS256?

HS256 (HMAC-SHA256) usa um único segredo compartilhado tanto para assinar quanto para verificar. RS256 (RSA-SHA256) usa uma chave privada para assinar e uma chave pública para verificar. RS256 é preferido em sistemas distribuídos onde muitos serviços precisam verificar tokens sem acesso ao segredo de assinatura.

Ferramentas relacionadas

Gerador de hash: MD5, SHA-256 e mais — Quando usar cada umO hashing é fundamental para segurança e integridade dos dados. Aprenda qual algoritmo escolher.Ler artigo → Codificação e decodificação Base64: O guia completo do desenvolvedorBase64 está em todo lugar no desenvolvimento web. Aprenda como funciona, quando usar e armadilhas comuns.Ler artigo → Verificador de força de senha: Construa autenticação de usuário seguraSenhas fracas são uma das principais causas de violações. Aprenda como medir a força das senhas.Ler artigo →
Voltar ao Blog