search

Found

info Visão geral

Cole um JWT para dividir header.payload.signature em JSON formatado; exp, iat e nbf viram data local legível.

📘 Como usar

  1. Colar o token JWT completo no campo de texto indicado.
  2. Clicar no botão de decodificação para extrair e visualizar os dados.

Leitor de Payload JWT

Decodifique header e payload de JWT — exp, iat e nbf como datas legíveis

🔒 Seus dados permanecem no seu navegador. Nunca compartilhe tokens contendo segredos sensíveis.

Article

Decodificador de JWT | Visualizador de Payload e Header Online

Ferramenta online projetada para desenvolvedores e engenheiros de software que precisam inspecionar rapidamente o conteúdo de tokens JWT (JSON Web Tokens). Decodifique o Header e o Payload em formato JSON formatado, além de visualizar os timestamps convertidos automaticamente para o seu fuso horário local.

💡 Sobre a Ferramenta

  • Decodificação instantânea em Base64Url: Extrai e formata o Header e o Payload em JSON legível, separando e exibindo a assinatura (Signature) original sem modificá-la.
  • Conversão automática de timestamps: Identifica automaticamente os claims de tempo como exp (Expiration Time), iat (Issued At) e nbf (Not Before) e os exibe como badges com data e hora convertidas para o padrão local do sistema.
  • Segurança e privacidade (Adequado à LGPD): Todo o processamento (decodificação Base64 e parsing de JSON) é executado exclusivamente no lado do cliente (client-side) do seu navegador. Nenhum token, credencial ou dado pessoal é enviado para servidores externos.
  • Foco em debug rápido: A ferramenta exibe o conteúdo interno para fins de inspeção e auditoria visual. Cabe ressaltar que ela não realiza a validação criptográfica da assinatura contra uma chave secreta.

🧐 Perguntas Frequentes

Q. Por que os timestamps (exp, iat, nbf) aparecem como números inteiros no Payload original?

A. No padrão JWT (RFC 7519), os campos de tempo são representados no formato Unix Epoch (quantidade de segundos transcorridos desde 1º de janeiro de 1970 UTC). Abaixo do Payload, nossa ferramenta converte esses valores numéricos para o formato legível (ex: DD/MM/AAAA HH:MM:SS), facilitando a auditoria imediata.

Q. Posso utilizar esta ferramenta para validar a autenticidade de um token recebido?

A. Não. O propósito desta ferramenta é unicamente a decodificação da codificação Base64Url para transformar os dados em texto legível. A validação de integridade e autenticidade da assinatura deve ocorrer no backend da sua aplicação, garantindo que o token não sofreu adulteração (tampering) no trânsito.

📚 Gerenciamento de Timestamps em APIs Brasileiras

No cenário de desenvolvimento moderno e integrações sistêmicas (como gateways de pagamento via PIX, Open Finance ou APIs governamentais e do Banco Central), o uso de JWT é o padrão para autenticação stateless. Nesses ecossistemas, as exigências de segurança demandam tokens de vida muito curta (short-lived tokens) para mitigar riscos de interceptação.

O claim exp (Expiration Time) é o fator crítico na avaliação do token. Durante o debug, o desenvolvedor precisa comparar rapidamente o valor de expiração com o horário atual (geralmente sob a referência do Horário de Brasília - BRT). Um token cujo exp seja inferior ao timestamp atual é considerado expirado e as requisições retornarão código 401 Unauthorized. Com os badges gerados pela ferramenta, você verifica a validade do ciclo de vida da credencial instantaneamente, sem a necessidade de rodar scripts de conversão Unix no terminal, agilizando a investigação de problemas em fluxos de refresh token.